MINISTÉRIO DO TRABALHO E PREVIDÊNCIA
FUNDAÇÃO JORGE DUPRAT FIGUEIREDO DE SEGURANÇA E MEDICINA DO TRABALHO
Resolução CGD/FUNDACENTRO Nº 2, DE 29 DE outubro DE 2021
Aprova a Política de Segurança da Informação e Comunicação (POSIC) da Fundacentro |
O PRESIDENTE DO COMITÊ DE GOVERNANÇA DIGITAL DA FUNDAÇÃO JORGE DUPRAT FIGUEIREDO DE SEGURANÇA E MEDICINA DO TRABALHO, no uso das atribuições que lhe foram conferidas pelo art. 12 do estatuto aprovado pelo Decreto nº 10.096, de 6 de novembro de 2019, e pelo inciso III do art. 2º, da Portaria nº 208 de 20 de julho de 2020, que institui o CGD, e
CONSIDERANDO o Decreto nº 9.637, de 26 de dezembro de 2018, que institui a Política Nacional de Segurança da Informação e dispõe sobre a governança da segurança da informação;
CONSIDERANDO a Instrução Normativa GSI/PR nº 3, de 28 de maio de 2021, que dispõe sobre os processos relacionados à gestão de segurança da informação nos órgãos e nas entidades da administração pública federal;
CONSIDERANDO a Instrução Normativa GSI/PR nº 3, de 6 de março de 2013, que dispõe sobre os parâmetros e padrões mínimos dos recursos criptográficos baseados em algoritmos de Estado para criptografia da informação classificada no âmbito do poder executivo federal;
CONSIDERANDO a Instrução Normativa GSI/PR nº 1, de 27 de maio de 2020, que dispõe sobre a estrutura de gestão da segurança da informação nos órgãos e nas entidades da administração pública federal;
CONSIDERANDO o Comitê Interno de Governança, Riscos e Controles – CGRC da Fundacentro, instituído pela Portaria nº 489 de 16 de dezembro de 2019;
CONSIDERANDO a proteção dos dados, informações e conhecimentos produzidos na Fundacentro; e
CONSIDERANDO o constante dos autos do processo nº 47648.000911/2020-47,
RESOLVE:
Art. 1º Aprovar a Política de Segurança da Informação e Comunicação (POSIC) da Fundacentro, conforme o Anexo I desta Resolução.
Art. 2º Fica revogada a Portaria nº 107, de 24 de junho de 2010.
Art. 3º Esta Resolução entra em vigor em 1º de dezembro de 2021.
FELIPE MÊMOLO PORTELA
Presidente
Documento assinado eletronicamente por Felipe Memolo Portela, Presidente, em 12/11/2021, às 14:21, conforme horário oficial de Brasília, com fundamento no art. 6º, § 1º, do Decreto nº 8.539, de 8 de outubro de 2015. |
A autenticidade deste documento pode ser conferida no site https://sei.fundacentro.gov.br/sei/controlador_externo.php?acao=documento_conferir&id_orgao_acesso_externo=0, informando o código verificador 0129254 e o código CRC FC33D419. |
ANEXO I
Política de Segurança da Informação e Comunicação (POSIC) da Fundacentro
CAPÍTULO I
DISPOSIÇÕES GERAIS
Art. 1º Fica instituída a Política de Segurança da Informação (POSIC), no âmbito da Fundacentro, seguindo o disposto no Decreto nº 9.637, de 26 de dezembro de 2018, com a finalidade de assegurar a confidencialidade, integridade, disponibilidade, e autenticidade da informação.
CAPÍTULO II
ESCOPO
Art. 2º A Política de Segurança da Informação tem por finalidade estabelecer:
I - diretrizes para a segurança do manuseio, tratamento, controle e proteção dos dados, informações e conhecimentos produzidos, armazenados ou transmitidos por qualquer meio, através de sistemas de informação, a serem obrigatoriamente observadas na definição de regras operacionais e procedimentos no âmbito da Fundacentro; e
II - mecanismos e controles para garantir a efetiva proteção dos dados, informações e conhecimentos gerados, bem como a redução dos riscos de ocorrência de perdas, alterações e acessos indevidos, preservando a confidencialidade, integridade, disponibilidade, e autenticidade das informações.
CAPÍTULO III
COMITÊ GESTOR DA SEGURANÇA DA INFORMAÇÃO (CGSI)
Art. 3º O Comitê Gestor da Segurança da Informação será composto pelos seguintes membros:
I - Presidente da Fundacentro;
II - Diretor de Conhecimento e Tecnologia;
III - Diretor de Administração e Finanças;
IV - Diretor de Pesquisa Aplicada;
V - Chefe do Serviço de Tecnologia - Informação e Comunicações;
VI - Chefe do Serviço de Tecnologia - Desenvolvimento e Negócios; e
VIII - Encarregado de tratamento de dados pessoais na Fundacentro.
§1º Os suplentes de cada membro serão os seus substitutos já designados em portaria para substituí-los nos seus respectivos cargos.
§2º Caso o Comitê verifique a necessidade da participação de representantes de outras áreas da Fundacentro, poderá solicitar a designação de um novo membro permanente, por portaria expedida pelo Presidente da Fundacentro, ou convidar para participação eventual, em reunião, sem direito a voto.
§3º As deliberações do Comitê serão aprovadas por maioria simples dos membros presentes. Em caso de empate, a Presidência terá, além do voto regular, o voto de desempate.
§4º Cabe ao Comitê estabelecer a sua forma de funcionamento; a periodicidade das suas reuniões ordinárias e extraordinárias; o membro secretário do Comitê; e a modalidade de votação dos itens das pautas, por meio de resolução.
CAPÍTULO IV
CONCEITOS E DEFINIÇÕES
Art. 4º São conceitos e definições utilizados nesta Política:
I - Administradores de Rede: são os servidores efetivos vinculados ao STIC, os quais podem receber suporte técnico de prestadores de serviço formalmente contratados;
II - Agente público: pessoa que exerce, com ou sem remuneração, por eleição, nomeação, designação, contratação ou qualquer forma de investidura ou vínculo, mandato, cargo, emprego ou função pública, ainda que transitoriamente;
III - Ativos de Tecnologia da Informação: itens da organização onde informações são criadas, processadas, armazenadas, transmitidas ou descartadas;
IV - Autenticação: é o ato de confirmar que algo ou alguém é autêntico, ou seja, uma garantia de que qualquer alegação sobre um objeto é verdadeira;
V - Autenticidade: a certeza de que o objeto em análise provém das fontes anunciadas e que não foi alvo de mutações ao longo de um processo;
VI - Comitê Gestor de Segurança da Informação (CGSI): grupo de pessoas com a responsabilidade de assessorar a implementação, tomada de decisão e a condução das ações de segurança da informação;
VII - Confidencialidade: qualidade de uma informação que não esteja disponível ou que não possa ser revelada a pessoa física, sistema, órgão ou entidade não autorizada e/ou credenciada;
VIII - Controle de Acesso: conjunto de procedimentos, recursos e meios utilizados com a finalidade de conceder ou bloquear os acessos aos recursos tecnológicos para os agentes públicos ou para prestadores de serviços de TI;
IX - Data Center: é o local onde são armazenados, em condições apropriadas de segurança, climatização e limpeza, os ativos que subsidiam as atividades de tecnologia da informação da Fundacentro compreendendo sala específica para essa finalidade;
X - Disponibilidade: qualidade de uma informação que seja acessível e utilizável, sob demanda, por uma pessoa física ou determinado sistema, órgão ou pessoa jurídica;
XI - Gestão de Continuidade de Negócios: processo de gestão global que identifica os processos críticos para a operação institucional e planeja, de forma antecipada, a continuidade dos processos de trabalho no caso de ocorrência de desastres e/ou quaisquer eventos indesejados, de modo a prevenir que as atividades institucionais sejam interrompidas, além de permitir uma rápida recuperação.;
XII - Gestão de Segurança da Informação: conjunto de processos que permite identificar e implementar as medidas de proteção necessárias para eliminar ou minimizar os riscos a que estão sujeitos os ativos de informação institucionais e equilibrá-los com os custos operacionais e financeiros envolvidos com vistas a garantir a confidencialidade, integridade e disponibilidade da informação;
XIII - Gestor da Informação: pessoa responsável pela administração de informações produzidas em seu processo de trabalho e/ou sistemas de informação relacionados às suas atividades;
XIV - Incidentes de Segurança da Informação: qualquer evento adverso relativo à tecnologia da informação que traga prejuízo tecnológico aos agentes públicos no exercício de suas funções, ou vazamento de dados e informações, confirmado ou sob suspeita do STIC;
XV - Informação: é o resultado do processamento, manipulação e organização de dados, atribuindo-lhes contexto e significado, de tal forma que represente uma modificação, quantitativa ou qualitativa, no conhecimento do sistema que a recebe;
XVI - Informação sensível: são consideradas informações sensíveis quaisquer informações sobre sobre crianças e adolescentes, ou que revelam origem racial ou étnica, convicções religiosas ou filosóficas, opiniões políticas, filiação sindical, questões genéticas, biométricas e sobre a saúde ou a vida sexual de uma pessoa ou quaisquer outros dados e informações confidenciais de caráter pessoal ou institucional que devem ser protegidos contra o acesso não autorizado;
XVII - Integridade: fidedignidade de informações, garantia de que a informação não foi modificada ou destruída de maneira não autorizada ou acidental;
XVIII - Mídias removíveis: são tipos de dispositivos de memória que podem ser removidos do seu aparelho de leitura, conferindo portabilidade para os dados que carrega;
XIX - Normas Complementares: conjunto de normas técnicas que definem e regulam o uso dos recursos de tecnologia da informação e das informações;
XX - Protocolo de Rede: são procedimentos que controlam e regulam a comunicação, conexão e transferência de dados entre sistemas computacionais;
XXI - Recursos Computacionais: são entendidos como computadores, dispositivos móveis, elementos de rede, impressoras, cabeamento, sistemas e softwares e demais dispositivos integrantes da rede de comunicação ou nela conectados;
XXII - Sala-segura: ambiente com acesso controlado de pessoas onde são armazenados os ativos de TI;
XXIII - Segurança da Informação: proteção sobre as informações de uma determinada instituição ou pessoa. É a proteção da informação contra vários tipos de ameaças e riscos, visando assegurar a confidencialidade, a integridade, a disponibilidade, e a autenticidade das informações;
XXIV - Serviços de Rede: são os conjuntos de facilidades providas por meio de protocolos de rede e softwares que, combinados, ofertam ao usuário meios de comunicação, manipulação e armazenamento de dados;
XXV - Servidor de arquivos: servidor onde são armazenados os arquivos produzidos pelos agentes públicos, independentemente de sua tecnologia de armazenamento;
XXVI - Sistemas de Informação: são conjuntos de componentes inter-relacionados que trabalham juntos para coletar, recuperar, processar, armazenar e distribuir informações, com a finalidade de facilitar o planejamento, o controle, a coordenação, a análise e o processo decisório em organizações;
XXVII - Transporte de informações: cópia ou movimentação de quaisquer dados ou informações institucionais da Fundacentro; e
XXVIII - Usuários: dirigentes, servidores públicos, terceirizados, colaboradores, consultores, auditores, estagiários, ou quaisquer agentes públicos que obtiveram autorização do responsável pela área interessada para acesso aos ativos de informação da Fundacentro, que poderá ser formalizada por meio da assinatura de termo de responsabilidade.
CAPÍTULO V
DIRETRIZES GERAIS
Art. 5º São diretrizes gerais desta POSIC:
I - a preservação da confiabilidade, integridade, disponibilidade e, autenticidade dos dados, informações e conhecimentos que compõem os ativos de informação da Fundacentro;
II - a economicidade na proteção dos ativos de informação;
III - a pessoalidade e utilidade do acesso aos ativos de informação;
IV - a responsabilização do usuário pelos atos que comprometam a segurança do sistema de informação;
V - todos os mecanismos de proteção utilizados para a segurança da informação visando a preservação da continuidade do regular exercício das funções institucionais;
VI - o gerenciamento dos ativos de informação, em conformidade com as normas operacionais e procedimentos específicos, a fim de garantir a operação segura e contínua;
VII - o planejamento das medidas de proteção;
VIII - os gastos na aplicação de controles sempre compatíveis com valor do ativo protegido; e
IX - a ampla e expressa publicidade dos requisitos de segurança da informação em todos os termos de compromisso celebrados entre a Fundacentro e outros órgãos e/ou entidades.
Art. 6º Cabe aos dirigentes, servidores e colaboradores da Fundacentro zelarem pelas informações institucionais.
Art. 7º Os recursos de tecnologia da informação são mantidos à disposição dos usuários somente para atividades relacionadas ao campo de atuação profissional no âmbito da Fundacentro.
Art. 8º É proibido o acesso indevido às informações, modificações não autorizadas, exclusão de dados sigilosos e/ou a divulgação de conteúdo institucional sem a devida permissão da autoridade competente.
Art. 9º Consideram-se recursos computacionais da rede corporativa da Fundacentro:
I - hardwares (estações de trabalho, servidores, impressoras, scanners, equipamentos de rede e demais periféricos);
II - softwares (sistemas operacionais, aplicativos, sites e sistemas corporativos);
III - canais de comunicação de dados, de uso exclusivo, que interligam as localidades da Fundacentro;
IV - serviços de correio eletrônico e acesso à internet; e
V - bancos e bases de dados.
Art. 10. É atribuição do Serviço de Tecnologia – Infraestrutura e Comunicações (STIC) a responsabilidade pela gestão dos recursos de tecnologia da Fundacentro.
Art. 11. É vedada a instalação ou desinstalação de recursos de tecnologia no ambiente corporativo da Fundacentro sem a prévia autorização do STIC.
Art. 12. É proibida a utilização de softwares não adquiridos legalmente, com infringência à Lei nº 9609/1998 que dispõe sobre a proteção da propriedade intelectual de programa de computador nos ativos de tecnologia da informação da instituição.
Art. 13. É vedado instalar e manter nas estações de trabalho arquivos de conteúdo pornográfico, discriminatório ou de entretenimento, jogos, material ofensivo aos direitos humanos e outros, não relacionados às atividades precípuas da Fundacentro.
Art. 14. O compartilhamento de diretórios, arquivos e demais recursos computacionais com pessoa física ou jurídica externas à Fundacentro fica condicionado à autorização superior ou da área responsável, caso haja autonomia para compartilhamento.
§ 1º O disposto no caput deve observar as disposições regulamentares federais relativas à publicidade, compartilhamento e divulgação de informações.
§ 2º A detecção de compartilhamentos e diretórios não autorizados, que incidam em risco à segurança, implicará na desconexão imediata da estação até a apuração de responsabilidade e providências cabíveis.
Art. 15. Os usuários deverão zelar pela conservação, integridade, correta utilização e segurança dos recursos computacionais sob sua responsabilidade e destinadas ao uso profissional.
Art. 16. Qualquer intervenção na estação de trabalho somente poderá ser efetuada pelos técnicos do STIC, assistida pelo usuário.
Art. 17. O usuário poderá exigir a identificação do técnico designado para atendimento de manutenção ou verificação dos recursos computacionais e a apresentação da ordem de serviço (número do chamado) verificando a autenticidade, se necessário, junto à chefia responsável pelo STIC.
Art. 18. A realização de backups (cópias de segurança) dos dados contidos nas estações de trabalho é de responsabilidade de seus usuários.
Art. 19. A realização de backups (cópias de segurança) dos dados contidos nos servidores de armazenamento localizados no DataCenter é de responsabilidade do STIC, considerando a estrutura disponível para essa tarefa.
Art. 20. O STIC poderá, a qualquer tempo, acessar arquivos nos servidores e estações de trabalho da Fundacentro, mesmo sem prévio consentimento do responsável pelo ativo, mas com a anuência da chefia do setor ou da chefia superior.
Art. 21. O acesso remoto às estações de trabalho, com o objetivo de prover suporte técnico, só poderá ser realizado por equipe autorizada do STIC, sempre com prévia permissão do usuário.
Art. 22. É vedado ao usuário impedir que procedimentos técnicos realizados por pessoal autorizado do STIC devidamente identificado, e de posse de ordem de serviço (chamado técnico), sejam executados nas estações de trabalho sob sua responsabilidade.
Art. 23. A necessidade de uso de recursos da rede corporativa por outros órgãos públicos ou privados será objeto de deliberação do CGSI.
Art. 24. O acesso aos sistemas e serviços tecnológicos fornecidos pelas áreas de tecnologia da Fundacentro é permitido a todos os usuários da rede corporativa institucional, previamente autorizados, mediante atribuição de login e senha.
Art. 25. A internet deve ser utilizada como canal para comunicação, pesquisas e busca de informações sobre assuntos de estrito interesse do serviço.
CAPÍTULO VI
DIRETRIZES ESPECÍFICAS
Seção I
Tratamento da Informação
Art. 26. Os requisitos e regras para tratamento da informação no ambiente de tecnologia da Fundacentro deverão contemplar as seguintes premissas:
I - informações, dados e conhecimentos utilizados no âmbito da Fundacentro devem ser protegidos e gerenciados adequadamente com o objetivo de garantir a sua confidencialidade, integridade, disponibilidade, autenticidade e auditabilidade, independente do meio de armazenamento, processamento ou transmissão que esteja sendo utilizado;
II - cada usuário deve acessar apenas as informações e os ambientes previamente autorizados. Sucessivas tentativas de acesso a ambientes não autorizados serão consideradas violação da POSIC;
III - todos os procedimentos que possibilitam a proteção da informação e a continuidade de seu uso devem ser documentados pelo responsável do ativo ou informação, visando garantir a continuidade na operacionalização dos métodos ou critérios adotados;
IV - critérios para descarte seguro de informações armazenadas em estações de trabalho ou outros dispositivos de armazenamento, portanto, o STIC deverá adotar as devidas técnicas para sobrescrição das informações existentes nos setores de armazenamento das mídias, de forma a promover o descarte seguro do dispositivo de armazenamento. Caso não seja possível a destruição lógica, deverá ser providenciada a destruição física;
V - o STIC poderá classificar o nível de confidencialidade e proteção das informações existentes na Rede de Dados da Fundacentro, nos termos do preconizado no Decreto nº 7845 de 14/11/2012;
VI - o Sistema Eletrônico de Informações da Fundacentro (SEI-Fundacentro) é o recurso institucional utilizado para elaboração de documentos e, considerando a confidencialidade, o usuário deverá atribuir-lhes o adequado grau de sigilo, com base em critérios especificados na legislação e atos normativos vigentes, para a informação tratada; e
VII - o SEI-Fundacentro está habilitado a garantir a autenticidade e integridade das informações geradas e nele disponibilizadas.
Seção II
Tratamento de Incidentes de Rede
Art. 27. Os incidentes de segurança da informação deverão ser comunicados à Equipe de Tratamento e Resposta a Incidentes em Redes computacionais (ETIR), neste ato instituída e composta pelos servidores efetivos do STIC e do STDN.
§ 1º É responsabilidade de todos os usuários notificar qualquer incidente ou fragilidade de segurança que seja percebida nos serviços ou recursos tecnológicos, bem como nos sistemas de informação, abstendo-se de proceder verificações ou testes por conta própria.
§ 2º A notificação de incidentes ou falhas de segurança da informação deve ser encaminhada para o endereço eletrônico da ETIR.
Art. 28. Os incidentes detectados serão direcionados para a ETIR, a quem cabe coletar todas as informações relacionadas à ocorrência do incidente e avaliá-las para tomar as providências necessárias, bem como tratar eventuais impactos do incidente, evitando sua repetição.
§ 1º As providências mencionadas no caput podem incluir revisão de normas e procedimentos existentes, aquisição de novos equipamentos e/ou ferramentas, reconfiguração de permissões, ciência às áreas responsáveis para eventual apuração de irregularidades praticadas por servidores da Fundacentro ou terceiros, entre outras.
§ 2º Caso a solução definitiva para evitar uma nova ocorrência de incidente não possa ser efetivada de imediato, a ETIR registrará a demanda e os riscos a ela associados e adotará uma solução secundária, até que haja condições para implementação da solução definitiva.
Art. 29. Compete à ETIR elaborar relatório para cada acidente avaliado, devendo conter, no mínimo, a descrição do incidente e as medidas adotadas.
Parágrafo único. O relatório previsto no caput deve ser armazenado, para fins de estatística, análise futura e avaliação por órgãos de controle interno ou externo, pelo período mínimo de 12 meses.
Seção III
Gestão de Riscos
Art. 30. A gestão de riscos em segurança da informação constitui um processo contínuo de planejamento, execução, verificação e revisão das ações que visam manter em níveis aceitáveis os riscos de segurança da informação a que estão sujeitos os ativos de informação da Fundacentro.
Art. 31. Deverão ser definidas, no plano de gerenciamento de riscos da Fundacentro, , a metodologia e a periodicidade de análise e avaliação de riscos a que estão sujeitos os ativos de informação da Fundacentro, visando fomentar a manutenção e a implementação das medidas de proteção de sua segurança.
Art. 32. O plano previsto no art. 31 deverá:
I - assegurar que as atividades de análise e avaliação produzam resultados comparáveis e reproduzíveis, de modo a permitir a priorização no tratamento dos maiores riscos; e
II - contemplar a definição de níveis aceitáveis de riscos, de acordo com requisitos legais, regulatórios ou internos da Fundacentro.
Parágrafo único. Todos os riscos identificados, mesmo os que forem considerados aceitáveis, deverão ter sua evolução acompanhada para permitir a detecção de possíveis mudanças na sua classificação, impacto ou probabilidade de ocorrência.
Seção IV
Gestão de Continuidade
Art. 33. A Gestão de Continuidade de Negócios compreenderá um conjunto de normas e procedimentos que visem assegurar o funcionamento contínuo ou recuperação antecipada da Fundacentro quando da ocorrência de indisponibilidade de recursos de infraestrutura, de tecnologia ou de recursos humanos, isolada ou simultaneamente.
Art. 34. O Plano de Continuidade de Negócios da Fundacentro, baseado em metodologias e boas práticas e aprovado pelo CGSI, deverá ser desenvolvido, implementado e testado periodicamente para garantir a continuidade dos serviços críticos.
Seção V
Auditoria e Conformidade
Art. 35. As ações de autenticação, concessão e revogação de privilégios de acesso, em qualquer ativo de tecnologia da informação, devem ser registradas de modo que seja possível determinar:
I - a data e hora em que ocorreram;
II - os identificadores de acesso utilizados;
III - o ativo de informação alvo; e
IV - os privilégios concedidos e revogados.
Parágrafo único. A auditoria permitirá a rastreabilidade do acesso.
Art. 36. A Fundacentro monitorará e registrará todo acesso e utilização de dados armazenados, ou em trânsito, em especial as informações sigilosas da instituição ou sob sua custódia, bem como o uso dos seus equipamentos, com o objetivo de zelar pelo fiel cumprimento da POSIC, nos termos da legislação vigente.
Parágrafo único. A instituição deverá prover meios para registrar a data e hora da ocorrência da manipulação e as informações alteradas.
Seção VI
Controle de Acesso
Art. 37. O Gerenciamento de Acesso do Usuário tem como finalidade assegurar o acesso de usuários autorizados e prevenir acessos não autorizados aos sistemas de informação da Fundacentro.
Art. 38. Todos os usuários da Fundacentro serão criados ou bloqueados com base nos eventos gerados pelo cadastro do servidor ou colaborador no sistema de recursos humanos da Fundacentro.
Parágrafo único. Aos usuários será concedido o nível de acesso necessário e suficiente para o desempenho de suas funções.
Art. 39. São responsabilidades do usuário, considerando o acesso seguro e adequado aos recursos computacionais disponíveis:
I - seguir os critérios do STIC na formulação de senhas para acesso aos recursos e sistemas computacionais;
II - não compartilhar ou fornecer a credencial de acesso (usuário/senha ou certificado) a terceiros, considerando que a credencial de acesso é de uso pessoal e intransferível;
III - comunicar imediatamente ao STIC sobre quaisquer indícios de vazamento ou uso não autorizado de sua senha a que tiver conhecimento, solicitando sua alteração;
IV - usuário com perfil de administrador de um recurso de TI, não deve utilizar essa característica em benefício próprio ou de terceiros;
V - assegurar que os equipamentos não monitorados tenham proteção adequada;
VI - utilizar as estações de trabalho somente para execução de atividades de interesse da Fundacentro e com softwares homologados e autorizados pelo STIC;
VII - não alterar as configurações padronizadas pelo STIC e, em hipótese alguma, abrir o gabinete das estações de trabalho e/ou modificar a configuração do hardware;
VIII - informar ao STIC sobre quaisquer indícios de violação da integridade física do equipamento por ele utilizado a que tiver conhecimento; e
IX - assinar termo de compromisso quanto ao sigilo e preservação dos dados e informações institucionais.
Art. 40. O Controle de Acesso à Rede tem como finalidade prevenir acesso não autorizado aos serviços de rede, considerando:
I - Uso dos Serviços de Rede: o usuário receberá acesso somente aos serviços que tenham sido especificamente autorizados a usar;
II - Autenticação para Conexão Externa do usuário: métodos apropriados de autenticação devem ser usados para controlar o acesso de usuários remotos;
III - Identificação de Equipamento em Redes: devem ser consideradas as identificações automáticas de equipamentos como um meio de autenticar conexões vindas de localizações e equipamentos específicos;
IV - Segregação de Redes: grupos de serviços de informação, usuários e sistemas de informação devem ser segregados em redes;
V - Controle de Conexão de Rede: para redes compartilhadas, especialmente as que se estendem além dos limites da Fundacentro, a capacidade de usuários para conectar à rede deve ser restrita, de acordo com a política de controle de acesso e os requisitos das aplicações do negócio; e
VI - Controle de Roteamento de Redes: será implementado controle de roteamento na rede para assegurar que as conexões de computador e fluxos de informação não violem a política de controle de acesso das aplicações do negócio.
Seção VII
Uso de e-mail e acesso à Internet
Art. 41. Será provido o acesso seguro, aos servidores e demais agentes públicos da Fundacentro, ao correio eletrônico (e-mail) e à Internet, como ferramentas para execução de suas atividades institucionais diárias.
Art. 42. O uso do e-mail tem as seguintes premissas:
I - divisão das caixas postais em dois tipos:
a) caixa postal individual: atribuída a uma pessoa física; e
b) caixa postal institucional: atribuída a uma unidade administrativa da estrutura organizacional da Fundacentro; a um grupo ou a uma atividade específica individual ou coletiva;
II - todo usuário terá apenas uma caixa postal pessoal;
III - as caixas postais institucionais possuirão um titular que será o único responsável pelos atos decorrentes de sua utilização;
IV - a solicitação de criação de caixa postal deverá ser solicitada via chamado técnico na Intranet, pela chefia imediata ou superior, contendo os dados cadastrais do usuário;
V - as caixas postais, individuais ou coletivas, destinam-se privativamente ao envio e recebimento de mensagens relacionadas às atividades institucionais;
VI - a tentativa de acesso às caixas postais de terceiros é expressamente proibida;
VII - as caixas postais, bem como todas as informações vinculadas ou armazenadas no correio eletrônico institucional, são de propriedade da Fundacentro;
VIII - as assinaturas dos usuários titulares das contas para as correspondências eletrônicas observarão a padronização definida pelo STIC;
IX - a veiculação de mensagem ou imagem vinculada a assinatura de e-mail que vise transmitir ou divulgar logomarca, frase de cunho ideológico, religioso, político e/ou partidário ou qualquer outro assunto que não esteja diretamente associado à identificação do servidor e às atividades da Fundacentro é proibida;
X - as caixas postais dos titulares que estejam em afastamento legal, serão mantidas e armazenadas pelo STIC enquanto perdurar o afastamento, podendo ser acessadas e recuperadas quando por solicitação formal da chefia imediata ou superior;
a) caixas postais de titulares em afastamento legal permanecerão bloqueadas até que haja solicitação formal, realizada pela chefia imediata ou superior para desbloqueio;
XI - o titular da caixa postal é responsável, para todos os fins, pela criação, manutenção e exclusão dos registros em sua conta de e-mail;
XII - para a utilização dos serviços de correio eletrônico, o usuário firmará termo de responsabilidade e sigilo, assumindo o compromisso de seguir os dispositivos e orientações para uso do correio eletrônico, bem como as políticas de tecnologia da informação e segurança da informação definidas pela Fundacentro;
XIII - compete ao Administrador do Correio Eletrônico (STIC):
a) assegurar a padronização de todos os nomes de caixas postais criadas ao padrão institucional;
b) operar e garantir a disponibilidade do serviço de correio eletrônico;
c) atender, no prazo estipulado, às solicitações de criação de e-mails;
d) estabelecer e manter processo sistemático para gravação e retenção de registros históricos sobre envio e recebimento de mensagens por um período de 12 (doze) meses, quando viável tecnicamente;
e) manter a proteção contra vírus e spam nos servidores de correio eletrônico;
f) bloquear, automaticamente, arquivos com extensões que impliquem risco de segurança para a instituição;
g) monitorar o ambiente, por meio de ferramentas sistêmicas, a fim de preservar a integridade do serviço de correio eletrônico e identificar possíveis violações ao disposto nesta POSIC;
h) assegurar que não haja o uso de imagens em assinaturas das caixas postais de e-mail, em concordância com o disposto no inciso IX; e
i) comunicar e capacitar os usuários de caixas postais de correio eletrônico sobre ações que possam ser periodicamente executadas, pelo próprio usuário, para limpeza e manutenção das caixas de e-mail;
XIV - compete ao usuário:
a) zelar pelo cumprimento de todos os termos presentes nesta Política;
b) utilizar o correio eletrônico apenas no estrito cumprimento das suas atividades junto à Fundacentro;
c) não permitir acesso de terceiros à sua conta de correio eletrônico;
d) utilizar o endereço eletrônico para cadastros na internet, intranet, e nos sistemas internos apenas nos assuntos de interesse da Fundacentro;
e) manter a assinatura de sua caixa postal atualizada e padronizada conforme orientações do STIC; e
f) gerenciar o espaço disponibilizado, com o intuito de evitar indisponibilidades causadas por limitações de armazenamento.
Art. 43. O acesso à Internet é disponibilizado como ferramenta de trabalho para a produção dos serviços institucionais, para a realização de consultas, pesquisas, intercâmbio de dados, ideias e informações em apoio aos projetos, atividades e eventos de interesse da Fundacentro.
§1º Tem-se como princípio assegurar que os recursos corporativos de Internet sejam prioritariamente utilizados na produção de serviços, operacionais ou administrativos, e na execução dos projetos, atividades e eventos institucionais, garantindo-se a não violação de preceitos éticos e dispositivos legais e assegurando-se a devida proteção contra riscos à segurança das informações institucionais.
§2º Para cumprir o disposto neste artigo, todos os acessos à Internet devem ser registrados, e, a critério do CGSI, poderão ser monitorados todos e quaisquer dados transmitidos ou recebidos através de seus ativos de tecnologia da informação.
§3º O acesso à internet poderá ser revogado ou interrompido, a qualquer tempo, nos casos de ameaça iminente a qualquer ativo, por desrespeito à POSIC e/ou por necessidade de serviço.
Seção VIII
Gestão de Ativos de Informação
Art. 44. Os ativos de informação devem ter um gestor que, em conjunto com o custodiante da informação, aplicará o tratamento de segurança adequado a este ativo.
§1º Cabe ao gestor analisar e aprovar o conjunto de controles aplicados para garantir a segurança dos ativos sob sua responsabilidade.
§2º Devem ser realizadas auditorias periódicas para verificação da correta aplicação dos requisitos de segurança da informação e comunicações.
Art. 45. No momento de sua geração ou aquisição, os ativos de informação serão classificados pelo gestor, quanto à sua importância e grau de confidencialidade, e submetidos a procedimentos regulares de avaliação quanto a esta classificação.
Art. 46. A classificação da informação determinará sua disponibilidade e proteção, a fim de garantir a sua segurança durante o ciclo de vida, desde a criação até a eliminação. Informações sem classificação não podem ser tacitamente consideradas sem restrição de acesso.
Art. 47. O acesso e a utilização dos ativos de informação devem ser precedidos do aceite ao termo de confidencialidade, para todos os dirigentes, servidores e colaboradores.
Art. 48. Os contratos celebrados entre a Fundacentro e as empresas prestadoras de serviço, deverão conter cláusulas sobre a obrigatoriedade de aderência à POSIC, termo de confidencialidade sobre as informações a que tiverem acesso por execução do objeto contratado, e esclarecimento sobre as possíveis sanções em caso de descumprimento.
Art. 49. O transporte de informações deve ser precedido de registro e autorização do gestor da informação, conforme definido em ordem de serviço específica sobre armazenamento de dados e utilizar procedimento para proteção do conteúdo.
Art. 50. A fim de resguardar informações sensíveis, bem como limitar seu acesso e controlar quaisquer cópias de documentos, dados e reproduções que porventura sejam extraídas da mesma, todos os colaboradores se certificarão de que documentos sensíveis impressos ou em mídia digital não devem estar expostos e seu descarte deve ser realizado de forma adequada, conforme orientações do CGSI, impedindo que a informação possa ser recuperada futuramente.
Seção IX
Gestão dos Ativos de Tecnologia da Informação
Art. 51. A utilização de ativos de tecnologia da informação requer recebimento, ciência e aceite formal do termo de responsabilidade sobre o ativo de tecnologia que será enviado pela Fundacentro de forma automática.
Art. 52. A utilização de ativos de tecnologia da informação deve ser realizada exclusivamente por meio da infraestrutura disponibilizada e autorizada pela unidade gestora de tecnologia da informação da Fundacentro, cumprindo as recomendações constantes em ordem de serviço específica para uso de ativos de tecnologia da informação.
Art. 53. São considerados ativos críticos de tecnologia da informação todos aqueles necessários para suportar os processos que são diretamente relacionados aos objetivos estratégicos da Fundacentro e que, de alguma forma, quando não executados de acordo com seus requisitos, podem causar prejuízo material ou danos à imagem da Fundacentro ou à administração pública.
Art. 54. Os ativos de tecnologia da informação, assim como suas credenciais de acesso, serão inventariados periodicamente e terão seus gestores e custodiantes identificados.
Parágrafo único. a identificação dos ativos de tecnologia seguirá as orientações descritas em ordem de serviço específica sobre a nomenclatura de ativos de tecnologia da informação.
Art. 55. Não é permitida a instalação de programas (softwares) em ativos de tecnologia da informação da Fundacentro, independente do regime de licenciamento, sem o consentimento do STIC.
Art. 56. O STIC disporá de processos de manutenção contínua que assegurem a disponibilidade e a integridade dos ativos de tecnologia da informação, tanto física quanto lógica. Estes processos visam acompanhar os contratos de garantia dos equipamentos e a realização de manutenções preventivas e a aplicação constante das atualizações de software.
Art. 57. Os ativos de tecnologia da informação deverão, sempre que possível, ser protegidos contra falhas no fornecimento de energia elétrica e de problemas ambientais, como temperatura e umidade, bem como contra perdas, danos, furtos, roubos, acessos indevidos ou qualquer interrupção não programada.
Art. 58. As condições de temperatura e umidade dos ambientes que contenham ativos críticos de tecnologia da informação devem, sempre que possível, ser monitoradas com vistas a detectar situações que possam causar problemas de funcionamento ou redução de sua vida útil.
Art. 59. A cópia de segurança de todo ativo de interesse da organização será realizada para prover a recuperação de dados, configurações e sistemas, em caso de falhas ou perdas nos ativos, tanto físicas quanto lógicas.
Art. 60. Não é permitida a utilização de equipamentos de propriedade particular de agentes públicos ou de terceiros na rede corporativa da Fundacentro, salvo em casos de exceção devidamente justificados e autorizados pelo CGSI.
Art. 61. Não é permitido adicionar, remover ou manipular os componentes físicos (hardware) de ativos de tecnologia da informação sem o consentimento formal do STIC.
Art. 62. A alienação, descarte ou movimentação dos ativos de tecnologia da informação serão, obrigatoriamente, precedidos de registro e autorização, formalmente concedidos pelo STIC, devendo observar os procedimentos adequados para que não haja risco de vazamento ou perda de informações.
Seção X
Segurança Física e do Ambiente
Art. 63. As áreas seguras têm por objetivo prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações no ambiente de TI.
Parágrafo único. Para a entrada física nas áreas seguras devem ser utilizados perímetros de segurança e proteções por controles apropriados de entrada para assegurar que só as pessoas autorizadas tenham acesso a tais áreas.
Art. 64. O acesso ao Data Center somente será autorizado pelo STIC.
Parágrafo único. A entrada de prestadores de serviços e/ou visitantes no ambiente do Data Center será sempre acompanhada por servidor ou colaborador do STIC.
Art. 65. Para a segurança de equipamentos, estes devem ser colocados em local apropriado ou protegidos para reduzir os riscos de ameaças e perigos do meio ambiente, bem como as oportunidades de acesso não autorizado.
Art. 66. O controle de acesso lógico aos recursos de tecnologia da informação será autorizado pelo STIC, considerando que:
I - as credenciais de acesso dos colaboradores da Fundacentro devem ser individuais e o seu compartilhamento não é permitido;
II - a concessão de privilégios de acesso será realizada em conformidade com o princípio do privilégio mínimo, ou seja, cada credencial de acesso deve possuir apenas o conjunto de privilégios estritamente necessários ao desempenho das suas atribuições profissionais;
III - a utilização de privilégios administrativos será realizada com a observância de rigorosos preceitos éticos e somente quando indispensável para a execução de atividade necessária à sustentação de ativos de tecnologia da informação ou para o cumprimento de tarefa específica formalmente atribuída;
IV - a concessão de acesso remoto a ativos de tecnologia da informação, seja a partir de equipamentos da Fundacentro ou não, deve ser precedida de autorização do custodiante do ativo, após análise da justificativa fornecida pelo gestor explicitando a necessidade do acesso. O acesso remoto será atribuído provisoriamente e contemplará somente os ativos necessários à realização do serviço, utilizando canal seguro;
V - todos os sistemas de informação da Fundacentro devem possuir um gestor, formalmente designado pela autoridade competente, que será responsável por solicitar e definir os privilégios de acesso às informações relacionadas ao sistema em questão. As alterações de atribuições dos colaboradores devem ser informadas pelo gestor imediatamente para adequação dos privilégios de acesso; e
VI - as senhas devem ter complexidade suficiente para que seu uso não seja passível de utilização por outro usuário, além de seu titular, podendo o STIC exigir o uso de caracteres especiais e outros recursos para formação de senhas complexas.
Seção XI
Gestão de Operações e Comunicações
Art. 67. Acerca dos procedimentos e responsabilidades operacionais, deve-se garantir a operação segura e correta dos recursos de processamento da informação.
Parágrafo único. Os procedimentos de operação devem ser documentados, mantidos atualizados e disponíveis a todos os usuários que deles necessitem.
Art. 68. As funções e áreas de responsabilidade devem ser segregadas para reduzir as oportunidades de modificação ou uso indevido não autorizado ou não intencional dos ativos de TI da Fundacentro.
Art. 69. Os ambientes de desenvolvimento, teste e produção devem ser separados para reduzir o risco de acessos ou modificações não autorizadas aos sistemas operacionais.
Art. 70. Deve-se manter o nível apropriado de segurança da informação dos serviços terceirizados.
§1º As empresas contratadas para prestação de serviços na Fundacentro deverão assinar termo de confidencialidade constante no ato da contratação.
§2º A Fundacentro possui o direito de auditar os recursos e serviços tecnológicos de sua propriedade, independentemente se são prestados por empresas contratadas ou atividades contratadas.
Art. 71. Para proteção da integridade do software e da informação contra códigos maliciosos e códigos móveis haverá controles de detecção, prevenção e recuperação, assim como procedimentos para a devida conscientização dos usuários.
Art. 72. Para assegurar a integridade e disponibilidade da informação e dos recursos de processamento de informação serão efetuadas cópias de segurança das informações e dos softwares, que serão testados regularmente e armazenados em ambientes seguros, protegidos em meio que previna a ação de desastres naturais ou ações deliberadas, preferencialmente em dois locais diferentes sendo um em ambiente controlado próximo ao Data Center ou sala-segura e outro em ambiente remoto, de modo a mitigar o risco de perda.
Art. 73. O gerenciamento da segurança em redes tem por objetivo garantir a proteção das informações em redes e a proteção da infraestrutura de suporte.
§1º As redes serão adequadamente gerenciadas e controladas, de forma a protegê-las contra ameaças e manter a segurança de sistemas e aplicações que utilizam estas redes, incluindo a informação em trânsito.
§2º As características de segurança, níveis de serviço e requisitos de gerenciamento dos serviços de rede devem ser identificados e incluídos em qualquer acordo de serviços de rede, tanto para serviços de rede providos internamente ou terceirizados.
Art. 74. O manuseio de mídias tem como finalidade prevenir a divulgação não autorizada, a modificação, a remoção ou a destruição aos ativos de TI e interrupções das atividades do negócio. As mídias devem ser descartadas de forma segura e protegida, por ocasião do cumprimento de seu ciclo de vida, por meio de procedimentos formais, sendo responsável pelo descarte adequado aquele empregado que o estiver realizando.
Art. 75. O monitoramento contempla a detecção de atividades não autorizadas de processamento da informação. Os registros (log) de auditoria contendo atividades dos usuários, exceções e outros eventos de segurança da informação devem ser produzidos e mantidos pelo prazo definido pelo STIC para auxílio em futuras investigações e monitoramentos de controle de acesso.
Parágrafo único. Todos os recursos de tecnologia da informação deverão ser configurados para gerarem registros de eventos (logs), exceto quando houver limitação técnica.
Art. 76. As trilhas de auditoria devem ser usadas para determinar se uma violação de política de segurança foi realizada ou se uma atividade suspeita é causa para alarme, possibilitando a localização de um possível incidente de segurança e sua fonte, fornecendo rastreabilidade e evidências necessárias para qualquer ação requerida.
Art. 77. O monitoramento do uso do sistema deve verificar a operação dos recursos de tecnologia da informação e os resultados das atividades de monitoramento devem ser analisados criticamente de forma regular.
Seção XII
Desenvolvimento Seguro de Software
Art. 78. As manutenções de sistemas já implantados que impliquem em mudanças significativas nos mesmos e/ou no ambiente, deverão incluir no seu planejamento o gerenciamento dos riscos envolvidos.
Art. 79. O acesso ao ambiente de execução de sistemas, em regime de produção, por colaboradores que atuam nas atividades de desenvolvimento de sistemas deve ser rigorosamente limitado, sendo permitido somente em caso de exceção, transitoriamente, com o objetivo de viabilizar operação específica e com o acompanhamento de funcionário ou colaborador responsável pela gestão desse ambiente.
Art. 80. Todos os produtos gerados durante o ciclo de vida de desenvolvimento de sistemas devem estar hospedados em repositórios sujeitos a mecanismos de controle de acesso, garantindo que somente colaboradores autorizados tenham acesso a estes produtos. Os códigos-fonte de programas devem ser armazenados utilizando sistemas de controle de fontes institucionais.
Art. 81. Os contratos de desenvolvimento de software devem conter cláusula contratual que garanta a entrega do código fonte e da documentação no padrão exigido pela Fundacentro, de acordo com os marcos do projeto, garantindo-se a completa documentação ao término ou no momento da interrupção do contrato.
Art. 82. Com relação à aceitação do sistema e sua implantação em ambiente de produção é necessário que ele possua um gestor responsável designado, e que tenha sido avaliado com sucesso em testes de vulnerabilidade e de carga. Além disso, deve existir um conjunto de documentos que descreva o sistema e/ou produto a ser implantado, que permita o seu gerenciamento e suporte.
CAPÍTULO VI
COMPETÊNCIAS E RESPONSABILIDADES
Art. 83. São responsabilidades da Diretoria de Conhecimento e Tecnologia:
I - cumprir e fazer cumprir esta Política de Segurança da Informação no âmbito da Fundacentro;
II - designar o Gestor de Segurança da Informação interno;
III - priorizar os recursos necessários para a implementação e gestão da Política de Segurança da Informação na Fundacentro;
IV - acompanhar o CGSI e aprovar as estratégias definidas para a criação, implantação e atualização desta Política ; e
V - analisar e manifestar-se sobre o CGSI e a Política de Segurança da Informação.
Art. 84. São responsabilidades do Comitê Gestor de Segurança da Informação (CGSI):
I - propor a adequação da POSIC e a criação ou alteração das normas aderentes à Segurança da Informação da Fundacentro;
II - propor normativos e indicadores para acompanhar e avaliar a implementação da Política de Segurança da Informação;
III - solicitar à autoridade competente a constituição de grupos de trabalho para tratar de temas e propor soluções específicas de Segurança da Informação;
IV - propor a adoção de ações de conscientização e capacitação de pessoal, visando difundir os conhecimentos e dar efetividade à Política de Segurança da Informação;
V - receber das unidades de lotação informações sobre dificuldades relativas à implementação e ao cumprimento desta Política; e
VI - compartilhar informações sobre novas tecnologias, produtos, ameaças, vulnerabilidades, gerenciamento de risco, políticas de segurança e outras atividades relativas à segurança corporativa com outros órgãos e empresas públicas, de modo a prover a Fundacentro do conhecimento das práticas mais modernas e adequadas para a proteção de suas informações.
Art. 85. São responsabilidades do Gestor da Informação:
I - tratar a informação;
II - definir os requisitos de segurança para os ativos sob sua responsabilidade;
III - conceder e revogar acessos conforme o disposto na Portaria nº 106 de 25 de abril de 2020; e
IV - autorizar a divulgação de informações, conforme normas específicas.
Art. 86. Compete à ETIR:
I - facilitar e coordenar as atividades de tratamento e resposta a incidentes de segurança;
II - agir proativamente com o objetivo de evitar que ocorram incidentes de segurança, divulgando práticas e recomendações de segurança da informação e avaliando condições de segurança de redes por meio de verificações de conformidade;
III - realizar ações reativas que incluem recebimento de notificações de incidentes, orientação de equipes no reparo a danos e análise de sistemas comprometidos buscando causas, danos e responsáveis;
IV - executar as ações necessárias para tratar quebras de segurança;
V - obter informações acerca dos incidentes ocorridos que descrevam sua natureza, causas, data de ocorrência, frequência e custos resultantes; e
VI - cooperar com outras equipes de tratamento e resposta a incidentes externas à Fundacentro.
CAPÍTULO VIII
DISPOSIÇÕES FINAIS
Art. 87. No prazo de 30 (trinta) dias, a contar da publicação desta Política, o STIC providenciará que todos os servidores e colaboradores da Fundacentro que façam uso de correio eletrônico e sua utilização esteja em desacordo com o disposto no art. 42, XIV, regularizem sua situação.
Art. 88. Os casos omissos e as divergências relacionadas a POSIC serão submetidos ao CGSI, que analisará e encaminhará à Diretoria de Conhecimento e Tecnologia para deliberação, se assim entender necessário.
Art. 89. O termo de responsabilidade e sigilo deverá ser assinado quando do ingresso como servidor ou colaborador ou quando da publicação desta normativa para todos os servidores e colaboradores.
Art. 90. O descumprimento das disposições constantes nessa Política sobre segurança da informação caracteriza infração funcional, a ser apurada em processo administrativo disciplinar, sem prejuízo das responsabilidades penais e civis.
Art. 91. Esta Política deve ser revisada e atualizada periodicamente, no máximo a cada 3 (três) anos, caso não ocorram eventos ou fatos relevantes que exijam a sua revisão imediata.
Art. 92. Esta Política aplica-se a todos os servidores e agentes públicos da Fundacentro.
ANEXO II
Comissão de elaboração da POSIC
Nome |
Unidade |
Cargo |
Felipe Memôlo Portela |
PRES |
Presidente |
Marina Brito Battilani |
DCT |
Diretora de Conhecimento e Tecnologia |
Erika Alvim de Sá e Benevides |
DPA |
Diretora de Pesquisa Aplicada |
Erika Alves dos Santos |
SBD |
Chefe do Serviço de Biblioteca e Documentação e Autoridade responsável pelo tratamento de dados pessoais na Fundacentro |
Diego Ricardi dos Anjos |
STIC |
Chefe do Serviço de Tecnologia – Infraestrutura e Comunicações |
Norisvaldo Ferraz Junior |
STIC |
Analista em C&T |
Referência: Processo nº 47648.001384/2021-79 | SEI nº 0129254 |