Institui a Política de Segurança da Informação e Comunicações - POSIC no âmbito da Superintendência Nacional de Previdência Complementar - PREVIC.

Transcrição

1 PORTARIA PREVIC Nº 204, DE Institui a Política de Segurança da Informação e Comunicações - POSIC no âmbito da Superintendência Nacional de Previdência Complementar - PREVIC. A DIRETORIA COLEGIADA DA SUPERINTENDÊNCIA NACIONAL DE PREVIDÊNCIA COMPLEMENTAR - PREVIC, no uso das atribuições que lhe conferem o inciso X, artigo 2º da Lei nº , de 23 de dezembro de 2009, e o inciso XXIII, artigo 11 do Anexo I do Decreto nº 7.075, de 26 de janeiro de 2010, e tendo em vista o contido na Lei nº , de 18 de novembro de 2011, no Decreto nº 3.505, de 13 de junho de 2000, no Decreto nº 7.724, de 16 de maio de 2012, na Portaria PREVIC nº 178, de 11 de abril de 2012 e na Portaria PREVIC nº 249, de 15 de maio de 2012, decide: CAPÍTULO I DO OBJETIVO Art. 1º - A Política de Segurança da Informação e Comunicações - POSIC, no âmbito da Superintendência Nacional de Previdência Complementar - PREVIC, vinculada à alta gestão da autarquia, observará as diretrizes constantes neste ato normativo, por meio da adoção de soluções integradas e específicas para cada uma das unidades administrativas e de negócio da PREVIC. Art. 2º - As diretrizes de Gestão da Segurança da Informação e Comunicações descrevem a conduta adequada para o tratamento da informação em todo seu ciclo de vida, correspondente à criação, ao manuseio, ao armazenamento, ao transporte e ao descarte das informações, e visam preservar a integridade, a disponibilidade, a autenticidade e o sigilo, quando aplicável, das informações. CAPÍTULO II DO PÚBLICO ALVO 1 / 14

2 Art. 3º - As diretrizes da POSIC possuem como público alvo todos os colaboradores que se utilizem dos recursos de Tecnologia da Informação e Comunicações (TIC) da PREVIC. 1º - Para os fins do presente ato normativo, consideram-se colaboradores os servidores públicos pertencentes aos quadros funcionais da PREVIC, ocupantes de cargo efetivo ou em comissão, incluindo os empregados terceirizados e estagiários contratados. 2º - Consideram-se terceiros os particulares, pessoas físicas ou jurídicas que não se enquadram na qualificação do parágrafo anterior, e que de qualquer forma mantenham relacionamento com a autarquia. Art. 4º - As disposições contidas nestas diretrizes aplicam-se também, no que couber, no tratamento de assuntos de TIC entre a PREVIC e outras instituições públicas ou privadas. CAPÍTULO III DOS PRINCÍPIOS Art. 5º - São princípios da POSIC: I - a legalidade, a impessoalidade, a moralidade, a publicidade, a eficiência e a ética na proteção do ativo de informação; II - a preservação da disponibilidade, da integridade, da autenticidade e do sigilo, quando aplicável, do ativo de informação; III - a responsabilização individual na utilização indevida dos ativos da informação; e IV - a transparência no tratamento das informações institucionais e pessoais, respeitando-se a 2 / 14

3 intimidade, a vida privada, a honra e a imagem das pessoas, bem como as liberdades e garantias individuais. Art. 6º - As ações de segurança da informação e comunicações devem oferecer respostas rápidas a incidentes e falhas de segurança. Art. 7º - As regras de segurança da informação e comunicações devem ser precisas, claras, concisas e de fácil entendimento. CAPÍTULO IV DAS DIRETRIZES Seção I Disposições gerais Art. 8º - A POSIC deve ser aplicada ao ambiente de trabalho da PREVIC e difundida por um processo permanente de conscientização a todos os colaboradores e a todos que possuam acesso aos recursos de TIC. Art. 9º - Os colaboradores e terceiros devem conhecer e zelar pelo cumprimento da POSIC. 1º - Os gestores responsáveis pelos processos inerentes à Gestão da Segurança da Informação e Comunicações devem receber capacitação especializada. 2º - Os contratos de prestação de serviços firmados entre a PREVIC e terceiros devem conter cláusulas que determinem a observância desta POSIC e das demais normas em vigor relacionadas à segurança e ao sigilo da informação. 3 / 14

4 Art Os usuários de TIC são responsáveis pela segurança dos recursos e pelos processos que estejam sob sua responsabilidade e uso. Art Os recursos de TIC disponibilizados pela PREVIC devem ser utilizados estritamente para fins institucionais, sendo vedado, a qualquer colaborador ou terceiros que tenham acesso a tais recursos, sua utilização para fins diversos daqueles para os quais foram concebidos, dentre eles, o uso para: I - perpetuar qualquer ação que possa comprometer a integridade, a disponibilidade, a autenticidade e o sigilo, quando aplicável, das informações criadas, manuseadas, armazenadas, transportadas, descartadas ou custodiadas pela PREVIC. II - fins pessoais, próprios ou de terceiros, que violem as normas de direito autoral, Lei nº 9.610, de 19 de fevereiro de 1998, de propriedade industrial, Lei nº 9.279, de 14 de maio de 1996, e demais normas que venham dispor sobre a matéria; III - veiculação de opiniões sexuais, racistas, político-partidárias ou religiosas; IV - perpetuar ações que, de algum modo, venham a constranger, assediar, ofender, caluniar, ameaçar ou causar prejuízos a qualquer pessoa física ou jurídica; V - expressar opiniões que atentem contra a moral, a ética e os bons costumes, ou que possam prejudicar direta ou indiretamente a imagem da Instituição; e VI - entretenimento. Seção II Do tratamento das informações 4 / 14

5 Art Todas as informações criadas, manuseadas, armazenadas ou transportadas pelos colaboradores no exercício de suas atividades são de propriedade da PREVIC, e devem ser protegidas segundo as diretrizes descritas nesta POSIC e nas demais normas jurídicas que disponham sobre direito autoral, propriedade industrial e sigilo das informações, incluindo a proteção jurídica dos respectivos sistemas que as armazenem. Art O acesso e o uso de informações de propriedade da PREVIC que forem classificadas em qualquer grau de sigilo deverão considerar os procedimentos de credenciamento de segurança e de tratamento da informação dispostos no Decreto nº 7.845, de 14 de novembro de 2012, e as orientações do Comitê Gestor e do Núcleo de Segurança e Credenciamento, vinculados ao Gabinete de Segurança Institucional da Presidência da República. Art Nos casos de cessão a terceiros do acesso a informações restritas pertencentes à PREVIC, o Gestor de Segurança da Informação e Comunicações deve providenciar previamente junto ao cessionário a celebração do instrumento jurídico adequado à formalização da cessão do direito de uso dessas informações em favor do interessado, estendendo-se a este último, conforme o caso, a obrigação de manter o sigilo das informações. Parágrafo único - O instrumento jurídico a ser elaborado, e referido no caput, deve ser submetido à análise jurídica prévia da Procuradoria Federal junto à PREVIC. Art Nos casos de obtenção de informação de acesso restrito pertencente a terceiros, o Gestor de Segurança da Informação e Comunicações deve previamente providenciar junto ao fornecedor das informações a celebração do instrumento jurídico adequado à formalização da cessão do direito de uso dessas informações em favor da PREVIC, estendendo-se, conforme o caso, a obrigação de manter o sigilo das informações. Parágrafo único - O instrumento jurídico a ser elaborado, e referido no caput, deve ser submetido à análise jurídica prévia da Procuradoria Federal junto à PREVIC. Art Nas situações descritas nos artigos 14 e 15 a cessão do direito de uso das informações não implicará a transferência da propriedade sobre os recursos cedidos de Tecnologia da Informação, nem em relação ao conteúdo constante na base de dados do sistema, cuja utilização das informações se limitará às regras convencionadas no instrumento 5 / 14

6 jurídico a ser celebrado entre os órgãos e entidades interessados. Seção III Da classificação das informações Art As informações criadas, manuseadas, armazenadas, transportadas ou custodiadas no âmbito da PREVIC serão classificadas em duas categorias: I - informações de acesso público, sem restrições; e II - informações de acesso restrito, de conteúdo sigiloso ou pessoal, conforme a regulamentação contida na Lei nº , de 18 de novembro de 2011, no Decreto nº 7.724, de 16 de maio de 2012, na Portaria PREVIC nº 249, de 15 de maio de 2012, e nas demais normas jurídicas que venham a disciplinar a matéria. Art O sigilo poderá ser declarado a qualquer momento, de forma expressa e motivada, por Diretor, pela Diretoria Colegiada da PREVIC ou pelo Procurador-chefe, na forma dos artigos 4º e 5º da Portaria PREVIC nº 249, de Art Todos os colaboradores devem ser capazes de identificar a classificação de segurança atribuída a uma informação tratada pela PREVIC e, a partir dela, conhecer as restrições de acesso e de divulgação associadas. Art Todo documento eletrônico institucional deve ser armazenado nos servidores de arquivos da rede corporativa da autarquia, em ferramentas de colaboração corporativa homologadas pela Coordenação-Geral de Tecnologia da Informação da PREVIC ou nos sítios oficiais do Ministério da Previdência Social. 1º - Se o documento não for eletrônico, deve ser mantido em local que preserve a segurança das informações. 6 / 14

7 2º - No descarte de informações institucionais, devem ser observados: I - a temporalidade prevista na legislação; e II - as políticas, as normas, os procedimentos internos e a classificação atribuída pela legislação à informação. Seção IV Do tratamento de incidentes da rede Art Todo colaborador, ao tomar conhecimento ou suspeitar da possibilidade de ocorrência de qualquer incidente de segurança da informação e comunicações, deve notificar o fato imediatamente ao Gestor de Segurança da Informação e Comunicações para as providências cabíveis. Parágrafo único - O procedimento descrito no caput será o padrão para o tratamento de incidentes de rede enquanto não for estabelecido um plano de ação de resposta aos incidentes de segurança da informação e comunicações. Seção V Dos controles de acesso Art Todo colaborador da PREVIC deve ter no ambiente da rede corporativa da autarquia uma conta de identificação de usuário, de caráter intransferível, sendo pré-requisito para sua concessão a assinatura do Termo de Compromisso de Sigilo, conforme modelo anexado à Portaria PREVIC nº 249, de 15 de maio de 2012, momento em que firmará conhecimento das normas relacionadas à POSIC. 7 / 14

8 Parágrafo único - A autorização, o acesso e o uso da informação e dos recursos de tecnologia devem ser controlados e limitados à necessidade do cumprimento das atribuições funcionais do usuário, sendo necessária prévia autorização formal do Gestor da Informação e Comunicações para qualquer finalidade. Art A Coordenação-Geral de Recursos Humanos - CGRH deve informar à Coordenação-Geral de Tecnologia da Informação - CGTI, no prazo de até dois dias úteis, qualquer mudança nas atribuições funcionais dos colaboradores da PREVIC que implique alteração do perfil de acesso anteriormente concedido, permitindo uma imediata adequação dos privilégios de acesso às informações e aos recursos de TIC. Parágrafo único - No caso de não mais ser necessário o acesso à informação pelo usuário cadastrado, os privilégios de acesso serão imediatamente cancelados. Art O acesso aos recursos de TIC sob responsabilidade da PREVIC, próprios ou cedidos temporariamente, poderá ser concedido a colaboradores ou a terceiros, em conformidade com o art. 3º desta Portaria, respeitadas as normas de proteção das informações classificadas como sigilosas ou pessoais e os limites de acesso à informação constantes no ato administrativo que tenha autorizado a obtenção das informações pertencentes a órgão ou entidade externos, conforme o caso. Art O acesso físico às instalações da PREVIC deverá ser objeto de regulamentação com o objetivo de garantir a segurança dos colaboradores e a proteção dos seus ativos de informação. Art As senhas de acesso são pessoais e intransferíveis, devendo ser alteradas periodicamente, não podendo ser compartilhadas, divulgadas a terceiros ou a outros colaboradores da PREVIC, anotadas em papel ou em sistema visível ou de acesso não protegido, mantida, em qualquer caso, a responsabilidade pelo uso da senha ao seu titular. Seção VI Da gestão de continuidade 8 / 14

9 Art A PREVIC deverá elaborar, manter e testar periodicamente processos de Gestão da Continuidade do Negócio visando evitar a interrupção dos serviços da autarquia causada por desastres ou falhas nos recursos de TIC. Art As medidas de proteção devem ser planejadas e os custos na aplicação de controles devem ser balanceados de acordo com os danos potenciais das falhas de segurança. Seção VII Da gestão de riscos Art A PREVIC deverá elaborar e manter processos de Gestão de Riscos, com o objetivo de minimizar possíveis impactos associados aos recursos de TIC. Parágrafo único - O processo criado deve possibilitar a seleção e priorização dos recursos a serem protegidos, e a definição e controle para a identificação e tratamento de possíveis problemas de segurança. Art Os recursos de TIC disponibilizados para a criação, manuseio, armazenamento, transporte e descarte da informação na PREVIC devem dispor de mecanismos que minimizem os riscos inerentes a problemas de segurança, com o objetivo de evitar ocorrências de incidentes, acidentais ou intencionais, que afetem os princípios de integridade, disponibilidade, autenticidade e sigilo, quando aplicável, das informações. Art Os recursos de TIC utilizados pela PREVIC devem ser previamente homologados, identificados individualmente e inventariados, e possuir documentação mínima e atualizada para o seu uso, sem prejuízo da necessidade de sua constante conformidade com as normas de segurança específicas. Seção VIII Da auditoria e conformidade 9 / 14

10 Art O uso dos recursos de TIC disponibilizados pela PREVIC é passível de monitoramento, cabendo à CGTI implantar e manter mecanismos que permitam a rastreabilidade desse uso. Art É obrigatória a identificação física, pessoal e intransferível, do colaborador e de todos que possuam acesso aos recursos de TIC, incluindo visitantes, a ser efetuada pela CGTI, a qual qualificará os responsáveis por todas as ações praticadas. Art A entrada e a saída de recursos de TIC nas dependências físicas da PREVIC devem ser autorizadas e registradas pela CGTI. Art A PREVIC, nos casos em que seus colaboradores ou terceiros pretendam utilizar software ou hardware ainda não homologado ou utilizado pela autarquia, poderá condicionar a permissão de utilização no seu ambiente de TIC à prévia verificação de conformidade em relação aos seus processos de Gestão da Segurança da Informação e Comunicações. Art Devem ser criados, nos ativos de TIC, controles técnicos que permitam a realização de auditorias. Art A PREVIC deve, a cada dois anos, promover a revisão das suas regulamentações de segurança e, a qualquer tempo, atualizações que se fizerem necessárias, decorrentes de mudanças na legislação ou desenvolvimento de novos processos de trabalho. Seção IX Da utilização do correio eletrônico Art A conta de correio eletrônico corporativo disponibilizada ao colaborador da PREVIC é pessoal e intransferível, sendo seu titular o único responsável pelas ações e danos causados à Instituição por meio de seu uso. 10 / 14

11 1º - A utilização do correio eletrônico deve restringir-se aos assuntos pertinentes às atividades da PREVIC. 2º - Aplicam-se ao correio eletrônico as normas de classificação de informações vigentes na PREVIC. Seção X Do acesso à internet Art O acesso à internet é um serviço disponibilizado aos colaboradores pela PREVIC e deve se restringir aos assuntos pertinentes às atividades da autarquia, respeitadas as diretrizes estabelecidas na Resolução CTIC-PS nº 05 de 28 de junho de 2011 do Ministério da Previdência Social e as vedações previstas no art. 11 do presente ato normativo. 1º - O acesso à internet será realizado mediante a atribuição de perfis de acesso aos colaboradores, de acordo com as possibilidades técnicas e a necessidade do serviço. 2º - A PREVIC poderá conceder o uso da internet para interesses particulares dos colaboradores, desde que esse uso não se dê em hipótese alguma com prejuízo ao desempenho da função pública pelo usuário, não podendo exceder os limites da ética, do bom senso e da razoabilidade. Seção XI Da utilização de dispositivos móveis Art A utilização de dispositivos móveis de propriedade da PREVIC será restrita à execução de atividades relacionadas às finalidades institucionais da autarquia. 11 / 14

12 Seção XII Das disposições comuns ao correio eletrônico, internet e dispositivos móveis Art Os critérios e condições de utilização do correio eletrônico, de acesso à internet e de uso de dispositivos móveis serão regulamentados por normas específicas. CAPÍTULO V DAS PENALIDADES Art A utilização indevida de recursos e informações, e a violação das normas e procedimentos relativos à POSIC serão avaliadas pelo Comitê de Segurança da Informação e Comunicações - CSIC, que encaminhará os autos à Diretoria Colegiada para avaliação e eventual adoção das medidas cabíveis. Art Os fatos que importem em violação às regras desta POSIC, ou de qualquer outro instrumento legal ou normativo relacionados à segurança da informação, podem resultar em responsabilidade administrativa, civil e penal do responsável, conforme o caso, e apurados em processo administrativo, nos termos da legislação federal em vigor. Art Fica autorizada a continuidade das atividades funcionais dos servidores da PREVIC que não estejam em conformidade com os princípios e regras da POSIC, desde que não existam recursos adequados disponibilizados pela autarquia para o exercício funcional do colaborador. Parágrafo único - A Coordenação-Geral de Projetos Especiais - CGPE providenciará o levantamento e definição de todos os processos das unidades administrativas da autarquia, encaminhando as necessidades encontradas para o Gestor de Segurança da Informação e Comunicações. 12 / 14

13 CAPÍTULO VI DAS COMPETÊNCIAS E RESPONSABILIDADES Art Compete à Diretoria Colegiada: I - aprovar a Política de Segurança da Informação e Comunicações e suas eventuais alterações; e II - instituir o Comitê de Segurança da Informação e Comunicações. Art Compete ao Diretor de Administração: I - assegurar que a Política de Segurança da Informação e Comunicações seja cumprida por toda a organização; e II - garantir os recursos necessários à implantação e gestão da POSIC. Parágrafo único - As competências específicas do Comitê de Segurança da Informação e Comunicações (CSIC) e de seu Gestor estão expressas na Portaria Previc nº 178, de 11 de abril de CAPÍTULO VII DAS DISPOSIÇÕES FINAIS Art As normas constantes no presente ato normativo devem servir como diretriz institucional para elaboração das demais normas relacionadas ao uso de recursos de tecnologia da informação e comunicações, e ao desenvolvimento dos procedimentos operacionais e de segurança técnica. 13 / 14

14 Art Os colaboradores da PREVIC devem reportar à CGTI ou ao Gestor de Segurança da Informação e Comunicações os incidentes que potencialmente afetem a segurança dos recursos de TIC ou que impliquem o descumprimento da POSIC. Art Em casos de risco ou quebra de segurança da informação, a CGTI deverá adotar as providências necessárias à correção do incidente, podendo, inclusive, determinar a restrição temporária do acesso às informações e aos recursos de tecnologia da informação. Art Esta Portaria entra em vigor na data de sua publicação. José Maria Rabelo Diretor-Superintendente (DOU de págs. 63 e 64 - seção 1) 14 / 14