SlideShare uma empresa Scribd logo
NORMA TÉCNICA
ATI-SGR-PR/001:10


Política de Segurança da
Informação – Diretrizes Gerais


Versão 2.0



Válida a partir da publicação da Resolução 001/2010



Palavras-chave: Segurança, Informação, Diretrizes, Regras, Normas,
Risco, Continuidade, Vulnerabilidade, Incidente, Ativo.




Direitos autorais exclusivos da ATI, sendo permitida reprodução
parcial ou total, desde que citada a fonte (ATI), mantido o texto
original e não acrescentado nenhum tipo de propaganda comercial.




                                                      26 páginas
NORMA ATI-SGR-PR/001:09




Sumário

Prefácio............................................................................................................................. 5
1 Introdução....................................................................................................................... 7
2 Escopo............................................................................................................................ 9
3 Termos e definições........................................................................................................ 9
4 Política de Segurança da Informação........................................................................... 11
4.1 Disposições Gerais.................................................................................................... 11
4.2 Atribuições e Responsabilidades............................................................................... 12
4.2.1 Comitê Gestor de Segurança – CGS...................................................................... 12
4.2.2 Presidência da ATI.................................................................................................. 13
4.2.3 Diretoria Executiva de Tecnologia da Informação e Comunicação – DTI................ 13
4.2.4 Unidade de Segurança da Informação – USI.......................................................... 13
4.2.5 Coordenadoria Executiva de Logística e Gestão – CLG......................................... 15
4.2.6 Gerência de Recursos Humanos – GRH................................................................ 15
4.2.7 Gerência Jurídica de Contratos e Convênios – GJC............................................... 16
4.2.8 Gerentes e Chefes de Unidades............................................................................. 16
4.2.9 Administradores de Sistemas Computacionais e de Comunicação........................ 17
4.2.10 Todos os Usuários................................................................................................ 17
4.3 Penalidades............................................................................................................... 17
4.4 Composição da Política de Segurança da Informação.............................................. 18
4.4.1 Diretrizes Gerais..................................................................................................... 19
4.4.2 Termo de Responsabilidade.................................................................................... 19
4.4.3 Documentos vinculados.......................................................................................... 20
5 Diretrizes Gerais da Política de Segurança da Informação........................................... 21
5.1 Gestão de Segurança da Informação........................................................................ 21
5.2 Gestão de Riscos...................................................................................................... 24


                                     Agência Estadual de Tecnologia da Informação
                   Governo do Estado Av. Rio Capibaribe, 147. São José – Recife-PE – Brasil
                   de Pernambuco     50020-080           – Pabx: 55 81 3181.8000
                                     www.ati.pe.gov.br – ati@ati.pe.gov.br                                                          3
NORMA ATI-SGR-PR/001:09




5.3 Plano de Continuidade de Negócio............................................................................ 24
5.4 Plano de Ação e Resposta a Incidentes.................................................................... 25
6 Bibliografia.................................................................................................................... 26




                                    Agência Estadual de Tecnologia da Informação
                  Governo do Estado Av. Rio Capibaribe, 147. São José – Recife-PE – Brasil
                  de Pernambuco     50020-080           – Pabx: 55 81 3181.8000
                                    www.ati.pe.gov.br – ati@ati.pe.gov.br                                                         4
NORMA ATI-SGR-PR/001:09




Prefácio

A ATI – Agência Estadual de Tecnologia da Informação – é o órgão de
coordenação e suporte técnico ao Sistema Estadual de Informática do Governo –
SEIG – e que tem como atribuições propor e prover soluções integradoras de
meios, métodos e competências, com uso intensivo e adequado da Tecnologia da
Informação e Comunicação.

A Política de Segurança da Informação foi elaborada pela Unidade de Segurança
da Informação – USI – da ATI, redigida em conformidade com as convenções
redacionais estabelecidas pela ATI [5] [6] e segundo os padrões nacionais e
internacionais atualmente utilizados [1] [2] [3].

Esta Norma foi aprovada pelo Comitê Gestor de Segurança – CGS e substitui o
documento intitulado Política de Segurança da Informação da ATI – PSI/ATI –
Versão 1, de 2008.




                              Agência Estadual de Tecnologia da Informação
            Governo do Estado Av. Rio Capibaribe, 147. São José – Recife-PE – Brasil
            de Pernambuco     50020-080           – Pabx: 55 81 3181.8000
                              www.ati.pe.gov.br – ati@ati.pe.gov.br                    5
NORMA ATI-SGR-PR/001:09




1 Introdução

A Informática de Governo tem por objetivo instrumentalizar a prestação do serviço
público, propiciando uma melhor gestão dos recursos do governo e possibilitando
a integração entre seus órgãos para a troca de informações.

O uso da Tecnologia da Informação na Administração Pública envolve grande
acervo de recursos computacionais e informações que necessitam estar
permanentemente protegidos contra acessos indevidos e adulterações.

Em contrapartida aos benefícios que a informatização oferece, existe a constante
tentativa de exploração maliciosa das informações, tornando-se imprescindível o
zelo pela segurança, evitando as vulnerabilidades que dão margem a invasões e
outros incidentes que resultam em perda da confidencialidade, integridade e
disponibilidade das informações.

Como parte de um conjunto de medidas de segurança, fica imprescindível a
implantação de uma Política de Segurança da Informação que defina diretrizes,
normas, padrões e requisitos mínimos, nos diversos aspectos que envolvem,
direta e indiretamente, o trânsito e o acervo de informações, salvaguardando a
sua exatidão, independentemente de onde e como estejam armazenadas.




                             Agência Estadual de Tecnologia da Informação
           Governo do Estado Av. Rio Capibaribe, 147. São José – Recife-PE – Brasil
           de Pernambuco     50020-080           – Pabx: 55 81 3181.8000
                             www.ati.pe.gov.br – ati@ati.pe.gov.br                    7
NORMA ATI-SGR-PR/001:09




2 Escopo

Essa Norma tem o objetivo de padronizar e estabelecer requisitos mínimos, a fim
de proporcionar condições que assegurem a integridade, a confidencialidade, a
disponibilidade, bem como a legalidade da informação no âmbito do ambiente
computacional da ATI.

As regras estabelecidas neste documento estendem-se a todos os que fazem
parte da instituição, tais como empregados, servidores, cargos em comissão,
terceirizados, estagiários, prestadores de serviços e os que, de alguma forma,
fazem uso dos recursos computacionais da mesma.

Esta Política engloba não apenas os requisitos de segurança lógica, mas,
também, os de segurança física e de pessoal nos ambientes computacionais.


3 Termos e definições

Para os efeitos deste documento, aplicam-se os seguintes termos e definições:

3.1

Segurança da informação

Segurança da Informação consiste na preservação da confidencialidade,
integridade e disponibilidade da informação, quais sejam:

   a) Confidencialidade – Garantia de que o acesso à informação seja obtido,
      apenas, por pessoas autorizadas;

   b) Integridade – Garantia de que a informação não seja adulterada;



                             Agência Estadual de Tecnologia da Informação
           Governo do Estado Av. Rio Capibaribe, 147. São José – Recife-PE – Brasil
           de Pernambuco     50020-080           – Pabx: 55 81 3181.8000
                             www.ati.pe.gov.br – ati@ati.pe.gov.br                    9
NORMA ATI-SGR-PR/001:09




   c) Disponibilidade – Garantia de que a informação esteja disponível sempre
      que requisitada pelos usuários autorizados.

Há de ser considerado o aspecto da Legalidade, no que diz respeito ao
cumprimento das normas provenientes do sistema jurídico brasileiro e tratados
internacionais vigentes.

3.2

Ativos de Segurança da Informação

São considerados Ativos de Segurança da Informação todos os elementos que
contém informação de forma direta ou indireta ou que tenha alguma relação com
a transmissão de informações.

A informação pode estar contida em:

   a) Dispositivos digitais móveis;

   b) Equipamentos compostos por unidade de armazenamento;

   c) Mídia digital, impressa ou escrita;

   d) Pessoas;

   e) Nuvem.

A informação pode ser transmitida por:

   a) Rede de dados;

   b) Dispositivos móveis;

   c) Mídia digital, impressa ou escrita;

   d) Comunicação oral e outros meios de comunicação pessoal.

                             Agência Estadual de Tecnologia da Informação
           Governo do Estado Av. Rio Capibaribe, 147. São José – Recife-PE – Brasil
           de Pernambuco     50020-080           – Pabx: 55 81 3181.8000
                             www.ati.pe.gov.br – ati@ati.pe.gov.br                    10
NORMA ATI-SGR-PR/001:09




3.3

Política de Segurança da Informação

A Política de Segurança da Informação, Política de Segurança ou simplesmente
PSI, consiste em um conjunto de definições, diretrizes, restrições e requisitos que
servem para nortear o uso de boas práticas no trato com os ambientes, recursos
e ativos de segurança da informação, em aspectos físicos, lógicos e de pessoal,
com a finalidade de proporcionar maior segurança às informações.


4 Política de Segurança da Informação

4.1 Disposições Gerais

A Política de Segurança da Informação é um conjunto de normas baseadas em
diretrizes preestabelecidas que, de forma estruturada e hierarquizada, criam
procedimentos, regras e métodos provenientes de análise da estrutura
organizacional em detrimento de regras de cunho internacional [1] [2] [3].

O fundamento dessa PSI é estabelecer as regras que permitam um nível de
segurança aceitável diante das ameaças existentes à informação. Salienta-se
que, em virtude de ser a Segurança da Informação (Ver 3.1) um processo
contínuo, novas normas e possíveis alterações de versão estarão sendo
implementadas.

No caso de existirem conteúdos tratando de uma mesma situação, prevalecerá a
versão mais recente, a mais especializada ou a hierarquicamente superior,
submetida a avaliação do Comitê Gestor de Segurança da Informação (Ver 4.2.1),
devendo, portanto, todos manterem-se atualizados e obedientes às normas em


                             Agência Estadual de Tecnologia da Informação
           Governo do Estado Av. Rio Capibaribe, 147. São José – Recife-PE – Brasil
           de Pernambuco     50020-080           – Pabx: 55 81 3181.8000
                             www.ati.pe.gov.br – ati@ati.pe.gov.br                    11
NORMA ATI-SGR-PR/001:09




vigor que serão disponibilizadas para fins de conhecimento.

4.2 Atribuições e Responsabilidades

Às estruturas de apoio, aos gestores, às chefias, aos analistas, aos técnicos e aos
usuários dos ambientes, dos recursos, dos ativos de segurança da informação
(Ver 3.2) e dos ativos computacionais da ATI, cabem cumprir atribuições e
assumir responsabilidades específicas, com relação à Segurança da Informação,
segundo as suas competências.

4.2.1 Comitê Gestor de Segurança – CGS

   a) Colaborar com a elaboração da Política de Segurança da Informação, junto
      à Unidade de Segurança da Informação da ATI;

   b) Aprovar a Política de Segurança da Informação, inclusive atualizações;

   c) Propor alterações à Política de Segurança da Informação, caso necessário;

   d) Definir o Plano Estratégico para implantação da Política de Segurança da
      Informação;

   e) Definir e aprovar os procedimentos e penalidades para se fazer cumprir a
      Política de Segurança;

   f) Coordenar a execução da Política de Segurança da ATI e dos demais
      órgãos integrantes da Informática de Governo do Estado de Pernambuco;

   g) Aprovar e propor medidas e contra medidas para correção de problemas
      causados por quebra ou fragilidade da Política de Segurança;

   h) Mobilizar os Gestores das áreas de risco para o cumprimento da Política


                             Agência Estadual de Tecnologia da Informação
           Governo do Estado Av. Rio Capibaribe, 147. São José – Recife-PE – Brasil
           de Pernambuco     50020-080           – Pabx: 55 81 3181.8000
                             www.ati.pe.gov.br – ati@ati.pe.gov.br                    12
NORMA ATI-SGR-PR/001:09




      de Segurança;

4.2.2 Presidência da ATI

   a) Presidir o Comitê Gestor de Segurança – CGS [7];

   b) Colaborar com a elaboração da Política de Segurança da Informação, junto
      à Unidade de Segurança da Informação da ATI;

   c) Publicar Instrução Normativa implantando a Política de Segurança, as
      normas, os manuais e os procedimentos derivados da mesma;

   d) Cumprir e fazer cumprir a Política de Segurança da Informação;

4.2.3 Diretoria Executiva de Tecnologia da Informação e Comunicação – DTI

   a) Colaborar com a elaboração da Política de Segurança da Informação, junto
      à Unidade de Segurança da Informação da ATI;

   b) Disponibilizar os recursos necessários à implantação da Política de
      Segurança;

   c) Cumprir e fazer cumprir a Política de Segurança da Informação;

   d) Mobilizar os gestores, principalmente os das áreas de risco, para o
      cumprimento da Política de Segurança;

4.2.4 Unidade de Segurança da Informação – USI

   a) Elaborar a Política de Segurança com aprovação do CGS;

   b) Definir as soluções técnicas e os recursos computacionais necessários
      para a implantação e adequação do ambiente computacional da ATI à


                             Agência Estadual de Tecnologia da Informação
           Governo do Estado Av. Rio Capibaribe, 147. São José – Recife-PE – Brasil
           de Pernambuco     50020-080           – Pabx: 55 81 3181.8000
                             www.ati.pe.gov.br – ati@ati.pe.gov.br                    13
NORMA ATI-SGR-PR/001:09




   Política de Segurança;

c) Encaminhar solicitação dos recursos necessários para implantação da
   Política de Segurança à Diretoria, para as providências cabíveis;

d) Implantar a Política de Segurança;

e) Monitorar o cumprimento da Política de Segurança, encaminhando aos
   respectivos gestores, as ocorrências de descumprimento das Normas de
   Segurança por seus subordinados para as providências cabíveis;

f) Avaliar o nível de segurança alcançado, através de procedimentos
   específicos de segurança da informação, podendo ter auxílio de
   ferramentas para tal;

g) Efetuar mudanças na Política de Segurança sempre que houver alteração
   no ambiente computacional ou atualizações tecnológicas, a fim de manter
   e melhorar o nível de segurança;

h) Coordenar ações de emergência, conforme Plano de Ação e Resposta a
   Incidentes (Ver 5.4), imediatamente após detecção ou conhecimento de
   incidentes de segurança no âmbito do ambiente computacional da ATI;

i) Definir e implantar as medidas e contra medidas necessárias para correção
   de problemas causados por quebra ou fragilidade da Política de
   Segurança, encaminhando ao respectivo gestor da área envolvida, relatório
   técnico sobre o ocorrido e as respectivas providências tomadas, bem
   como, as recomendações de segurança a serem seguidas;

j) Mobilizar os gestores, principalmente os das áreas de risco, para o
   cumprimento da Política de Segurança;



                          Agência Estadual de Tecnologia da Informação
        Governo do Estado Av. Rio Capibaribe, 147. São José – Recife-PE – Brasil
        de Pernambuco     50020-080           – Pabx: 55 81 3181.8000
                          www.ati.pe.gov.br – ati@ati.pe.gov.br                    14
NORMA ATI-SGR-PR/001:09




4.2.5 Coordenadoria Executiva de Logística e Gestão – CLG

  a) Colaborar com a Política de Segurança da Informação quanto ao
     cumprimento      das   especificações      relativas    aos   ambientes     físicos,
     infraestrutura em geral, acesso físico, segurança patrimonial, iluminação,
     sinalização, emergência e demais atividades da responsabilidade desta
     coordenadoria;

  b) Disponibilizar os recursos necessários à implantação da Política de
     Segurança;

  c) Cumprir e fazer cumprir a Política de Segurança da Informação;

  d) Mobilizar os gestores, principalmente os das áreas de risco, para o
     cumprimento da Política de Segurança;

4.2.6 Gerência de Recursos Humanos – GRH

  a) Colaborar com o cumprimento da Política fornecendo, quando necessário,
     informações sobre os recursos humanos da ATI;

  b) Informar aos setores competentes, de forma imediata, sobre qualquer tipo
     de movimentação do trabalhador, tais como, mudança de cargo ou função,
     transferência, cessão, habilitação, demissão, exoneração, entre outras, que
     justifique controle de suas credenciais de acesso à empresa e aos recursos
     computacionais da mesma;

  c) Tomar providências para que os novos trabalhadores assinem o Termo de
     Responsabilidade (ver 4.4.2);

  d) Prestar auxílio à USI a respeito dos treinamentos sobre segurança da


                            Agência Estadual de Tecnologia da Informação
          Governo do Estado Av. Rio Capibaribe, 147. São José – Recife-PE – Brasil
          de Pernambuco     50020-080           – Pabx: 55 81 3181.8000
                            www.ati.pe.gov.br – ati@ati.pe.gov.br                    15
NORMA ATI-SGR-PR/001:09




      informação;

   e) Tomar as providências administrativas no caso de aplicação de
      penalidades aos trabalhadores quanto ao não cumprimento da Política de
      Segurança da Informação;

4.2.7 Gerência Jurídica de Contratos e Convênios – GJC

   a) Prestar auxílio à USI e ao CGS quanto aos aspectos jurídicos referentes à
      Segurança da Informação;

   b) Avaliar os incidentes de segurança causados por servidores do estado,
      recomendando as penalidades cabíveis;

   c) Tomar as providências jurídicas cabíveis em casos de incidentes de
      segurança;

4.2.8 Gerentes e Chefes de Unidades

   a) Colaborar com a USI e com o CGS na elaboração da Política de
      Segurança;

   b) Cumprir e fazer cumprir a Política de Segurança em relação aos seus
      subordinados;

   c) Propor mudanças à Política de Segurança de acordo com as necessidades
      iminentes detectadas na sua área de atuação;

   d) Tomar as providências cabíveis em caso de descumprimento da Política de
      Segurança por seus subordinados;

   e) Reportar, de imediato, à USI, qualquer incidente de segurança detectado
      ou, até mesmo, qualquer suspeita ou ameaça de incidentes;

                            Agência Estadual de Tecnologia da Informação
          Governo do Estado Av. Rio Capibaribe, 147. São José – Recife-PE – Brasil
          de Pernambuco     50020-080           – Pabx: 55 81 3181.8000
                            www.ati.pe.gov.br – ati@ati.pe.gov.br                    16
NORMA ATI-SGR-PR/001:09




4.2.9 Administradores de Sistemas Computacionais e de Comunicação

   a) Adequar os sistemas computacionais e de comunicação em conformidade
      com a Política de Segurança;

   b) Monitorar os registros dos sistemas;

   c) Tomar as providências de emergência conforme Plano de Ação e Resposta
      a Incidentes, imediatamente após detecção ou conhecimento de incidentes
      de segurança no âmbito do ambiente computacional da ATI;

   d) Reportar, de imediato, à USI, qualquer incidente de segurança ou, até
      mesmo, suspeitas iminentes;

   e) Solicitar apoio e consultoria de segurança à USI quando se fizer
      necessário;

4.2.10 Todos os Usuários

   a) Cumprir as normas definidas na Política de Segurança;

   b) Reportar, de imediato, à USI, qualquer incidente de segurança ou, até
      mesmo, suspeitas iminentes;

   c) Sugerir medidas que possam elevar os níveis de segurança das
      instalações na sua área de atuação;

4.3 Penalidades

A não observância dos preceitos desta Política poderá implicar na aplicação de
sanções administrativas, cíveis e penais previstas na legislação em vigor que
regule ou venha regular a matéria.


                             Agência Estadual de Tecnologia da Informação
           Governo do Estado Av. Rio Capibaribe, 147. São José – Recife-PE – Brasil
           de Pernambuco     50020-080           – Pabx: 55 81 3181.8000
                             www.ati.pe.gov.br – ati@ati.pe.gov.br                    17
NORMA ATI-SGR-PR/001:09




As penalidades administrativas serão aplicadas após a sua devida apuração em
processo administrativo disciplinar, sendo observados critérios de gravidade e
reincidência dos atos de violação cometidos à Política de Segurança da
Informação.

As infrações ocorridas as normas que compõem essa Política de Segurança da
Informação deverão ser analisadas pelo gestor imediato do infrator, que deverá
comunicar imediatamente a Diretoria da ATI para fins de determinação da
apuração das eventuais responsabilidades dos funcionários envolvidos.

4.4 Composição da Política de Segurança da Informação

A presente Política de Segurança da Informação será composta por uma estrutura
de documentos organizados de forma hierárquica, conforme a figura abaixo:


                                      Política de Segurança da Informação

      Diretrizes Gerais
                                                                                                                                                                             Termo de responsabilidadeTermo de responsabilidadeTermo
                                                                                                                                                                             de responsabil id adeTermo de responsabilidadeTermo de
                                                                                                                                                                             responsabilidad e Termo de responsabilidaadeTermo de
                                                                                                                                                                             responsabilidadeT ermo de responsabilidadeTermo de
                                                                                                                                                                             responssssabilidadeTer mo de responsaaaaaaabilidadeTermo
                                                                                                                                                                             de responsabilidadeTe ermo de responsabilidadeeTermo de
                                                                                                                                                                             responsabilidade



                                                                                                                                                                                Termo de
       Gestão de                                                                            Plano de                             Plano de Ação e                             Responsabilidade
      Segurança da                             Gestão de Riscos                          Continuidade de                            Resposta a                               Termo de responsabilidadeTermo de responsabilidadeTermo


       Informação                                                                            Negócio                                Incidentes                               de responsabil id adeTermo de responsabilidadeTermo de
                                                                                                                                                                             responsabilidad e Termo de responsabilidaadeTermo de
                                                                                                                                                                             responsabilidadeT ermo de responsabilidadeTermo de
                                                                                                                                                                             responssssabilidadeTer mo de responsaaaaaaabilidadeTermo
                                                                                                                                                                             de responsabilidadeTe rmo de responsabilidadeTermo de
                                                                                                                                                                             responsabilidadeTermo de responsabilidadeaaaaaaTermo de
                                                                                                                                                                             responsabilissssdad Termo de responsabilidadeeTermo de
                                                                                                                                                                             responsabilidade




      Ssmanuais manu manuais manua                Ssmanuais manu m anuais manua            Ssmanuais manu manuais manua            Ssmanuais manu m anuais manua
      manuaisSsmanuais m anu m anuais m anua      manuaisSsmanuais manu manuais manua      manuaisSsmanuais manu manuais manua     manuaisSsmanuais manu manuais manua
      manuaisSsmanuais m anu m anuais m anua      manuaisSsmanuais manu manuais manua      manuaisSsmanuais manu manuais manua     manuaisSsmanuais manu manuais manua
      manuaisSsmanuais m asadsadddsdasnu          manuaisSsmanuais masadsadddsdasnu        manuaisSsmanuais masadsadddsdasnu       manuaisSsmanuais masadsadddsdasnu
      manuais manua manuaisSsmanuais m anu        manuais m anua manuaisSsmanuais manu     manuais manua manuaisSsmanuais manu     manuais m anua manuaisSsmanuais manu
      manuais manua manuaianua manuais            manuais m anua manuaianua m anuais       manuais manua manuaisSsmanuais manu     manuais m anua manuaisSsmanuais manu
                                                                                           manuais manua manuais                   manuais m anua manuais


       Normas                                     Planos de
                                                                                         Procedimentos                                 Manuais
      Específicas                                   Ação                                                                           Ssmanuais manu m anuais manua
                                                                                           Ssmanuais manu manuais manua            manuaisSsmanuais manu manuais manua
      Ssmanuais manu manuais manua               Ssmanuais manu manuais manua              manuaisSsmanuais manu manuais manua     manuaisSsmanuais manu manuais manua
      manuaisSsmanuais m anu m anuais m anua     manuaisSsmanuais manu manuais manua       manuaisSsmanuais manu manuais manua     manuaisSsmanuais masadsadddsdasnu
      manuaisSsmanuais m anu m anuais m anua     manuaisSsmanuais manu manuais manua       manuaisSsmanuais masadsadddsdasnu       manuais m anua manuaisSsmanuais manu
      manuaisSsmanuais m asadsadddsdasnu         manuaisSsmanuais masadsadddsdasnu         manuais manua manuaisSsmanuais manu     manuais m anua manuaisSsmanuais manu
      manuais manua manuaisSsmanuais m anu       manuais manua manuaisSsmanuais manu       manuais manua manuaisSsmanuais manu     manuais m anua manuais
      manuais manua manuaisSsmanuais m anu       manuais manua manuaisSsmanuais manu       manuais manua manuais
      manuais manua manuais                      manuais manua manuais




                                                Agência Estadual de Tecnologia da Informação
                              Governo do Estado Av. Rio Capibaribe, 147. São José – Recife-PE – Brasil
                              de Pernambuco     50020-080           – Pabx: 55 81 3181.8000
                                                www.ati.pe.gov.br – ati@ati.pe.gov.br                                                                                                                                                   18
NORMA ATI-SGR-PR/001:09




4.4.1 Diretrizes Gerais

As Diretrizes Gerais da Política de Segurança da Informação apontam os
principais aspectos e propõem as características norteadoras para todo o
conjunto de normas específicas, padrões, procedimentos, manuais, planos e
demais documentos relacionados à Segurança da Informação no âmbito da ATI.
Todos esses instrumentos deverão seguir os princípios elencados nessa norma
de diretrizes gerais.

Essas regras norteadoras, embora estejam unidas numa mesma mesma ideia,
foram divididas para uma melhor compreensão em:

   a) Gestão de Segurança da Informação – Conjunto de medidas que visam a
       proteção dos ativos de segurança da informação;

   b) Gestão de Riscos – Conjunto de medidas que visam a remediação de
       riscos da informação, identificados através de análise;

   c) Plano de Continuidade de Negócio – Plano desenvolvido através da
       identificação de causas que possam afetar a disponibilidade dos serviços,
       trazendo soluções para seu imediato restabelecimento;

   d) Plano de Ação e Resposta a Incidentes – Plano que propõe medidas de
       resposta na ocasião de incidentes de segurança.

4.4.2 Termo de Responsabilidade

A PSI conta com o Termo de Responsabilidade [4], em caráter complementar, cujo
objetivo é dar ciência e ter o registro disso. Logo, todos os submetidos à PSI
deverão assinar o referido Termo, no mesmo sentido incorrem os que futuramente
ingressarem na organização, comprometendo-se à estrita observância e

                              Agência Estadual de Tecnologia da Informação
            Governo do Estado Av. Rio Capibaribe, 147. São José – Recife-PE – Brasil
            de Pernambuco     50020-080           – Pabx: 55 81 3181.8000
                              www.ati.pe.gov.br – ati@ati.pe.gov.br                    19
NORMA ATI-SGR-PR/001:09




obediência às condições e requisitos contidos na PSI, e suas normas específicas
presentes e futuras.

4.4.3 Documentos vinculados

A Política de Segurança da Informação é composta por um conjunto de
documentos vinculados às diretrizes gerais, trazendo, de forma detalhada,
características técnicas e disciplinares visando o cumprimento das especificações
e diretrizes dessa Política. Esses documentos tomam forma de normas
complementares, planos de ação, procedimentos e manuais.

As normas complementares são documentos que trazem regras detalhadas sobre
uma temática específica. Novas normas ou novas versões de normas podem ser
incluídas no rol e as existentes serem excluídas ou alteradas, respeitando as
diretrizes gerais e a harmonia e convivência entre as normas que compõem a
PSI.

Os planos de ação são documentos que elencam diversas hipóteses de situações
e determinam soluções para as mesmas.

Os procedimentos servem para padronizar soluções diante de uma tarefa
específica.

Os manuais são instrumentos de orientação para agentes de segurança da
informação. Podem ser definidos de uma forma geral e abstrata ou mesmo tratar
de uma temática específica. O público-alvo desses manuais podem ser agentes
de segurança leigos ou não.




                                Agência Estadual de Tecnologia da Informação
              Governo do Estado Av. Rio Capibaribe, 147. São José – Recife-PE – Brasil
              de Pernambuco     50020-080           – Pabx: 55 81 3181.8000
                                www.ati.pe.gov.br – ati@ati.pe.gov.br                    20
NORMA ATI-SGR-PR/001:09




5 Diretrizes Gerais da Política de Segurança da
Informação

5.1 Gestão de Segurança da Informação

  a) Esta Política de Segurança da Informação deve abranger todos os
     recursos humanos, administrativos e tecnológicos da ATI;

  b) A identificação do usuário por meio de crachá, senha ou outro meio é
     pessoal e intransferível, qualificando-o como responsável por todas as
     atividades desenvolvidas através da credencial, sendo pré-requisito para a
     liberação do uso de qualquer uma dessas formas de identificação, a
     assinatura de “Termo de Responsabilidade” (Ver 4.4.2), que comprove sua
     ciência às condições de uso, seus direitos e deveres quanto ao acesso dos
     recursos computacionais da ATI;

  c) Todo pessoal que integre direta ou indiretamente os recursos humanos da
     ATI é responsável pela segurança da informação, dentro de sua respectiva
     área de atuação;

  d) Somente atividades lícitas, éticas e administrativamente admitidas devem
     ser realizadas, pelos usuários, em geral, quando da utilização dos recursos
     computacionais da ATI, ficando os transgressores sujeitos às sanções (Ver
     4.3) previstas nesta PSI;

  e) Devem existir, documentados e implantados, procedimentos específicos
     para     bloqueio    temporário     ou   definitivo   de   acesso     aos   recursos
     computacionais da ATI na ocorrência de afastamento ou desligamento de
     usuários credenciados;


                              Agência Estadual de Tecnologia da Informação
            Governo do Estado Av. Rio Capibaribe, 147. São José – Recife-PE – Brasil
            de Pernambuco     50020-080           – Pabx: 55 81 3181.8000
                              www.ati.pe.gov.br – ati@ati.pe.gov.br                    21
NORMA ATI-SGR-PR/001:09




f) Aqueles que estão fora das atividades em virtude de afastamento,
   aposentadoria, demissão, exoneração, cessão, ou por qualquer outro
   motivo não desempenha mais sua função na ATI, serão responsabilizados
   por quaisquer atos que descumpriram essa PSI, ao tempo em que
   exerciam suas atividades;

g) Deve existir programa de disseminação desta PSI assegurando que todos,
   que integram esta entidade, estejam cientes da obrigatoriedade de
   obediência às normas e recomendações aqui definidas;

h) Deve ser implementado um programa permanente de conscientização
   sobre segurança da Informação de forma que seja esclarecido a todos os
   potenciais riscos de segurança a que estão expostos os ativos de
   segurança da informação, proporcionando, assim, maior cooperação para
   o cumprimento das normas desta PSI;

i) É dever de todos os usuários, ao tomarem conhecimento de qualquer
   incidente de segurança da informação, notificar o fato imediatamente, à
   Unidade de Segurança da Informação - USI, para as providências cabíveis;

j) Todos os usuários devem ter acesso aos recursos mínimos necessários à
   execução de suas tarefas no âmbito da ATI, salvo disposição em contrário
   expressa e específica;

k) Os equipamentos e aplicações disponibilizados aos usuários devem ser
   orientados, previamente, por um projeto a fim de evitar situações de risco à
   segurança da informação e devem ser homologados em ambiente de teste
   e desenvolvimento antes de serem postos em produção;

l) O uso de equipamentos particulares no âmbito da ATI será controlado e


                         Agência Estadual de Tecnologia da Informação
       Governo do Estado Av. Rio Capibaribe, 147. São José – Recife-PE – Brasil
       de Pernambuco     50020-080           – Pabx: 55 81 3181.8000
                         www.ati.pe.gov.br – ati@ati.pe.gov.br                    22
NORMA ATI-SGR-PR/001:09




   deverá estar em conformidade com as normas de segurança desta PSI;

m) Todos os Ativos de Segurança da Informação (Ver 3.2) serão protegidos
   por essa PSI, baseando-se em critérios de classificação, criticidade,
   confidencialidade, risco de exposição, alinhados com as diretrizes
   estratégicas da ATI;

n) Documentos e softwares desenvolvidos por funcionários e prestadores de
   serviço são de propriedade da ATI, ressalvados em casos expressamente
   assegurados por contrato formal;

o) As informações de propriedade da ATI devem ser de uso restrito para os
   fins a que se destinam, não podendo, sob nenhum propósito, serem
   apropriadas ou divulgada a terceiros;

p) Todas as informações devem ser protegidas contra perda, acessos e usos
   indevidos, devendo ser adotados procedimentos específicos e adequados
   ao grau de criticidade da informação, sob a responsabilidade direta do
   funcionário ou prestador de serviço que a detém em sua guarda;

q) Esta Política de Segurança da Informação deve ser considerada como
   subsídio essencial para confecção de processos de aquisição de bens e
   serviços de Tecnologia da Informação;

r) Os   softwares     adquiridos    ou    desenvolvidos      devem     obedecer    às
   especificações de segurança estabelecidas por essa PSI;

s) Deve ser implantado procedimento para ativar e manter registros de
   vulnerabilidades e ataques reportados por fontes confiáveis, além de
   medidas de controle e correção, promovendo-se, quando necessário, as
   devidas orientações de intervenção aos administradores dos recursos

                          Agência Estadual de Tecnologia da Informação
        Governo do Estado Av. Rio Capibaribe, 147. São José – Recife-PE – Brasil
        de Pernambuco     50020-080           – Pabx: 55 81 3181.8000
                          www.ati.pe.gov.br – ati@ati.pe.gov.br                    23
NORMA ATI-SGR-PR/001:09




     vulneráveis;

  t) O   cumprimento     da    Política   de   Segurança      da    Informação      será
     acompanhado e auditado por unidade responsável, sendo permitido, para
     isso, o monitoramento do tráfego e armazenamento de informação;

5.2 Gestão de Riscos

  a) Deve ser implementado um programa de gestão de riscos para análise dos
     ativos de segurança da informação (Ver 3.2) da ATI, bem como diversos
     outros elementos que agem direta ou indiretamente sobre esses ativos,
     com objetivo de identificar e remediar as vulnerabilidades que resultam em
     riscos para a segurança das informações;

  b) A Análise de Risco será feita periodicamente, emitindo relatório para
     apresentação e análise junto à Diretoria, ao Comitê Gestor de Segurança e
     demais Gestores;

5.3 Plano de Continuidade de Negócio

  a) Um plano de continuidade do negócio deve ser implementado e testado
     periodicamente para garantir a ininterrupção dos serviços críticos nos
     ambientes computacionais;

  b) Sistemas e dispositivos redundantes devem estar disponíveis para garantir
     a continuidade da operação dos serviços críticos quando necessário;

  c) Procedimentos específicos devem ser previstos para contingência nas
     diversas áreas de atuação dos ambientes computacionais, cabendo aos
     respectivos gestores, tomarem as providências cabíveis;


                           Agência Estadual de Tecnologia da Informação
         Governo do Estado Av. Rio Capibaribe, 147. São José – Recife-PE – Brasil
         de Pernambuco     50020-080           – Pabx: 55 81 3181.8000
                           www.ati.pe.gov.br – ati@ati.pe.gov.br                     24
NORMA ATI-SGR-PR/001:09




5.4 Plano de Ação e Resposta a Incidentes

  a) Um plano de ação e resposta a incidentes deve ser estabelecido com o
     objetivo de conter e remediar qualquer incidente de segurança da
     Informação que venha a ocorrer;

  b) Os incidentes de segurança devem ser registrados para finalidade
     estatística, servindo de base para elaboração de futuras políticas e
     melhorias de segurança;




                           Agência Estadual de Tecnologia da Informação
         Governo do Estado Av. Rio Capibaribe, 147. São José – Recife-PE – Brasil
         de Pernambuco     50020-080           – Pabx: 55 81 3181.8000
                           www.ati.pe.gov.br – ati@ati.pe.gov.br                    25
NORMA ATI-SGR-PR/001:09




6 Bibliografia
[1] ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS (ABNT).
NBRISO/IEC27001, Tecnologia da informação - Técnicas de segurança -
Sistemas de gestão de segurança da informação – Requisitos, mar. de 2006.

[2] ABNT. NBRISO/IEC27002, Tecnologia da informação - Técnicas de segurança
- Código de prática para a gestão da segurança da informação, ago. de 2005.

[3] ABNT. NBRISO/IEC27005, Tecnologia da informação - Técnicas de segurança
- Gestão de riscos de segurança da informação, jul. de 2008.

[4] ATI. Termo de Responsabilidade – Recife, 2008. Disponível em:
<www.ati.pe.gov.br>. Acesso em: 08 de set. de 2010.

[5] ATI. SEIG-GGT-PR/001-1:08. Versão 1.0 – Recife, 2009. Disponível em:
<www.ati.pe.gov.br>. Acesso em: 08 de set. de 2010..

[6] ATI. SEIG-GGT-PR/001-2:08. Versão 1.0 – Recife, 2009. Disponível em:
<www.ati.pe.gov.br>. Acesso em: 08 de set. de 2010.

[7] ATI. Portaria N° 033/2008 – Recife, 2008. Disponível em: <www.ati.pe.gov.br>.
Acesso em: 08 de set. de 2010.




                             Agência Estadual de Tecnologia da Informação
           Governo do Estado Av. Rio Capibaribe, 147. São José – Recife-PE – Brasil
           de Pernambuco     50020-080           – Pabx: 55 81 3181.8000
                             www.ati.pe.gov.br – ati@ati.pe.gov.br                    26

Mais conteúdo relacionado

Mais procurados

LEI 6.938 - PNMA.pdf
LEI 6.938 - PNMA.pdfLEI 6.938 - PNMA.pdf
LEI 6.938 - PNMA.pdf
VinciusFonseca17
 
Microsoft power point desenvolvimento sustentável
Microsoft power point   desenvolvimento sustentávelMicrosoft power point   desenvolvimento sustentável
Microsoft power point desenvolvimento sustentável
guestc218995d
 
Agro-informática
Agro-informáticaAgro-informática
Agro-informática
Rebeka Santos
 
NOÇÕES DE DIREITO
NOÇÕES DE DIREITONOÇÕES DE DIREITO
NOÇÕES DE DIREITO
URCAMP
 
DIREITOS HUMANOS E MEIO AMBIENTE
DIREITOS HUMANOS E MEIO AMBIENTEDIREITOS HUMANOS E MEIO AMBIENTE
DIREITOS HUMANOS E MEIO AMBIENTE
Isabela Espíndola
 
Direito _ as fontes do direito
Direito _ as fontes do direitoDireito _ as fontes do direito
Direito _ as fontes do direito
Raquel Tavares
 
Introdução ao SGA (Sistema de Gestão Ambiental)
Introdução ao SGA (Sistema de Gestão Ambiental)Introdução ao SGA (Sistema de Gestão Ambiental)
Introdução ao SGA (Sistema de Gestão Ambiental)
Roberto Emery-Trindade
 
Lei Geral de Proteção de Dados (LGPD)
Lei Geral de Proteção de Dados (LGPD) Lei Geral de Proteção de Dados (LGPD)
Lei Geral de Proteção de Dados (LGPD)
Ed Oliveira
 
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 FoundationISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
CompanyWeb
 
Aula código florestal
Aula código florestalAula código florestal
Aula código florestal
João Alfredo Telles Melo
 
Dicas básicas sobre LGPD - Lei Geral de Proteção de Dados Pessoais
Dicas básicas sobre LGPD - Lei Geral de Proteção de Dados PessoaisDicas básicas sobre LGPD - Lei Geral de Proteção de Dados Pessoais
Dicas básicas sobre LGPD - Lei Geral de Proteção de Dados Pessoais
Rosalia Ometto
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
imsp2000
 
Código de ética na informática
Código de ética na informáticaCódigo de ética na informática
Código de ética na informática
Wesley Germano Otávio
 
Segurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de SegurançaSegurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de Segurança
Gilberto Sudre
 
CPCJ Serta
CPCJ SertaCPCJ Serta
CPCJ Serta
Ilda Bicacro
 
Aula 4 - Sistemas de Informação
Aula 4 - Sistemas de InformaçãoAula 4 - Sistemas de Informação
Aula 4 - Sistemas de Informação
Jocelma Rios
 
LGPD e Gestão Documental
LGPD e Gestão DocumentalLGPD e Gestão Documental
LGPD e Gestão Documental
Daniel Gorita
 
gestão ambiental
gestão ambientalgestão ambiental
gestão ambiental
Neilany Sousa
 
modelo de PGR.PDF
modelo de PGR.PDFmodelo de PGR.PDF
modelo de PGR.PDF
ThayaneMartinsSegTra
 
Meio ambiente powerpoint
Meio ambiente powerpointMeio ambiente powerpoint
Meio ambiente powerpoint
Margarida Santos
 

Mais procurados (20)

LEI 6.938 - PNMA.pdf
LEI 6.938 - PNMA.pdfLEI 6.938 - PNMA.pdf
LEI 6.938 - PNMA.pdf
 
Microsoft power point desenvolvimento sustentável
Microsoft power point   desenvolvimento sustentávelMicrosoft power point   desenvolvimento sustentável
Microsoft power point desenvolvimento sustentável
 
Agro-informática
Agro-informáticaAgro-informática
Agro-informática
 
NOÇÕES DE DIREITO
NOÇÕES DE DIREITONOÇÕES DE DIREITO
NOÇÕES DE DIREITO
 
DIREITOS HUMANOS E MEIO AMBIENTE
DIREITOS HUMANOS E MEIO AMBIENTEDIREITOS HUMANOS E MEIO AMBIENTE
DIREITOS HUMANOS E MEIO AMBIENTE
 
Direito _ as fontes do direito
Direito _ as fontes do direitoDireito _ as fontes do direito
Direito _ as fontes do direito
 
Introdução ao SGA (Sistema de Gestão Ambiental)
Introdução ao SGA (Sistema de Gestão Ambiental)Introdução ao SGA (Sistema de Gestão Ambiental)
Introdução ao SGA (Sistema de Gestão Ambiental)
 
Lei Geral de Proteção de Dados (LGPD)
Lei Geral de Proteção de Dados (LGPD) Lei Geral de Proteção de Dados (LGPD)
Lei Geral de Proteção de Dados (LGPD)
 
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 FoundationISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
 
Aula código florestal
Aula código florestalAula código florestal
Aula código florestal
 
Dicas básicas sobre LGPD - Lei Geral de Proteção de Dados Pessoais
Dicas básicas sobre LGPD - Lei Geral de Proteção de Dados PessoaisDicas básicas sobre LGPD - Lei Geral de Proteção de Dados Pessoais
Dicas básicas sobre LGPD - Lei Geral de Proteção de Dados Pessoais
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
Código de ética na informática
Código de ética na informáticaCódigo de ética na informática
Código de ética na informática
 
Segurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de SegurançaSegurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de Segurança
 
CPCJ Serta
CPCJ SertaCPCJ Serta
CPCJ Serta
 
Aula 4 - Sistemas de Informação
Aula 4 - Sistemas de InformaçãoAula 4 - Sistemas de Informação
Aula 4 - Sistemas de Informação
 
LGPD e Gestão Documental
LGPD e Gestão DocumentalLGPD e Gestão Documental
LGPD e Gestão Documental
 
gestão ambiental
gestão ambientalgestão ambiental
gestão ambiental
 
modelo de PGR.PDF
modelo de PGR.PDFmodelo de PGR.PDF
modelo de PGR.PDF
 
Meio ambiente powerpoint
Meio ambiente powerpointMeio ambiente powerpoint
Meio ambiente powerpoint
 

Destaque

Nota de aula seguranca da informacao - politica de segurança da informação
Nota de aula   seguranca da informacao - politica de segurança da informaçãoNota de aula   seguranca da informacao - politica de segurança da informação
Nota de aula seguranca da informacao - politica de segurança da informação
felipetsi
 
Mini política de Segurança da Informação - Análise de Riscos
Mini política de Segurança da Informação - Análise de RiscosMini política de Segurança da Informação - Análise de Riscos
Mini política de Segurança da Informação - Análise de Riscos
Anderson Zardo
 
Politica de segurança da informação definição importância elaboração e imple...
Politica de segurança da informação definição  importância elaboração e imple...Politica de segurança da informação definição  importância elaboração e imple...
Politica de segurança da informação definição importância elaboração e imple...
Diego Souza
 
Segurança de Redes - Projeto e Gerenciamento de Redes Seguras
Segurança de Redes - Projeto e Gerenciamento de Redes SegurasSegurança de Redes - Projeto e Gerenciamento de Redes Seguras
Segurança de Redes - Projeto e Gerenciamento de Redes Seguras
jivagoalves
 
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Darly Goes
 
Políticas de segurança TI
Políticas de segurança TIPolíticas de segurança TI
Políticas de segurança TI
Eberson Pereira
 
Resumo ISO 27002
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002
Fernando Palma
 
Resumo ISO 27002
Resumo ISO 27002 Resumo ISO 27002
Resumo ISO 27002
Fernando Palma
 
Introdução a ISO 27002 - MOD04
Introdução a ISO 27002 - MOD04Introdução a ISO 27002 - MOD04
Introdução a ISO 27002 - MOD04
Fernando Palma
 
Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows Server
Guilherme Lima
 

Destaque (10)

Nota de aula seguranca da informacao - politica de segurança da informação
Nota de aula   seguranca da informacao - politica de segurança da informaçãoNota de aula   seguranca da informacao - politica de segurança da informação
Nota de aula seguranca da informacao - politica de segurança da informação
 
Mini política de Segurança da Informação - Análise de Riscos
Mini política de Segurança da Informação - Análise de RiscosMini política de Segurança da Informação - Análise de Riscos
Mini política de Segurança da Informação - Análise de Riscos
 
Politica de segurança da informação definição importância elaboração e imple...
Politica de segurança da informação definição  importância elaboração e imple...Politica de segurança da informação definição  importância elaboração e imple...
Politica de segurança da informação definição importância elaboração e imple...
 
Segurança de Redes - Projeto e Gerenciamento de Redes Seguras
Segurança de Redes - Projeto e Gerenciamento de Redes SegurasSegurança de Redes - Projeto e Gerenciamento de Redes Seguras
Segurança de Redes - Projeto e Gerenciamento de Redes Seguras
 
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
 
Políticas de segurança TI
Políticas de segurança TIPolíticas de segurança TI
Políticas de segurança TI
 
Resumo ISO 27002
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002
 
Resumo ISO 27002
Resumo ISO 27002 Resumo ISO 27002
Resumo ISO 27002
 
Introdução a ISO 27002 - MOD04
Introdução a ISO 27002 - MOD04Introdução a ISO 27002 - MOD04
Introdução a ISO 27002 - MOD04
 
Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows Server
 

Semelhante a Política de segurança da informação diretrizes gerais

Trabalho Segurança da Informação -
Trabalho Segurança da Informação - Trabalho Segurança da Informação -
Trabalho Segurança da Informação -
Bruno Luiz A. de Pai Paiva
 
Estratégia de Segurança Cibernética para o SISP
Estratégia de Segurança Cibernética para o SISPEstratégia de Segurança Cibernética para o SISP
Estratégia de Segurança Cibernética para o SISP
SAE - Secretaria de Assuntos Estratégicos da Presidência da República
 
Segurança da informação e sistema informatizado
Segurança da informação e sistema informatizadoSegurança da informação e sistema informatizado
Segurança da informação e sistema informatizado
hannannunes
 
Diretriz INTELIGENCIA ARTIFICIAL EME 2024 - port_1318-eme.pdf
Diretriz INTELIGENCIA ARTIFICIAL EME 2024 - port_1318-eme.pdfDiretriz INTELIGENCIA ARTIFICIAL EME 2024 - port_1318-eme.pdf
Diretriz INTELIGENCIA ARTIFICIAL EME 2024 - port_1318-eme.pdf
Revista Sociedade Militar
 
Consulta Pública - Requisitos de Segurança e Conformidade
Consulta Pública - Requisitos de Segurança e ConformidadeConsulta Pública - Requisitos de Segurança e Conformidade
Consulta Pública - Requisitos de Segurança e Conformidade
Brasscom
 
LGPD - 2020.06.03 lgpd
LGPD - 2020.06.03 lgpdLGPD - 2020.06.03 lgpd
LGPD - 2020.06.03 lgpd
Delcio Pacheco Do Prado
 
V SEGINFO: “Segurança da Informação na Administração Pública Federal”
V SEGINFO: “Segurança da Informação na Administração Pública Federal”V SEGINFO: “Segurança da Informação na Administração Pública Federal”
V SEGINFO: “Segurança da Informação na Administração Pública Federal”
Clavis Segurança da Informação
 
A Segurança da Informação nas Organizações Públicas Brasileiras
A Segurança da Informação nas Organizações Públicas BrasileirasA Segurança da Informação nas Organizações Públicas Brasileiras
A Segurança da Informação nas Organizações Públicas Brasileiras
JUAREZ DE OLIVEIRA
 
Boas Praticas da Seg.Infor..pdf
Boas Praticas da Seg.Infor..pdfBoas Praticas da Seg.Infor..pdf
Boas Praticas da Seg.Infor..pdf
GILBERTOSANTANALEAL
 
PETIC 2.0 - GERTEC - SEFAZ/SE - 2009 - 2011
PETIC 2.0 - GERTEC - SEFAZ/SE - 2009 - 2011PETIC 2.0 - GERTEC - SEFAZ/SE - 2009 - 2011
PETIC 2.0 - GERTEC - SEFAZ/SE - 2009 - 2011
luizrbs
 
Plano governanca-em-ti-sti
Plano governanca-em-ti-stiPlano governanca-em-ti-sti
Plano governanca-em-ti-sti
Haroldo Borges da Costa
 
Plano governanca-em-ti-sti
Plano governanca-em-ti-stiPlano governanca-em-ti-sti
Plano governanca-em-ti-sti
Haroldo Borges da Costa
 
boas-praticas-ii.pdf
boas-praticas-ii.pdfboas-praticas-ii.pdf
boas-praticas-ii.pdf
SoniaDomingos4
 
Cloud computing-curso-dia4
Cloud computing-curso-dia4Cloud computing-curso-dia4
Cloud computing-curso-dia4
Ademar Freitas
 
Artefato final
Artefato finalArtefato final
Artefato final
rafahreis
 
Artefato final PETIC
Artefato final PETICArtefato final PETIC
Artefato final PETIC
Lucas Aquino
 
boas-praticas-i.pdf
boas-praticas-i.pdfboas-praticas-i.pdf
boas-praticas-i.pdf
SoniaDomingos4
 
Artefato PETIC Final Petrobras UO-SEAL
Artefato PETIC Final Petrobras UO-SEAL Artefato PETIC Final Petrobras UO-SEAL
Artefato PETIC Final Petrobras UO-SEAL
diegofarias2014
 
Agir f nery 01mar2019
Agir  f nery 01mar2019Agir  f nery 01mar2019
Agir f nery 01mar2019
Fernando Nery
 
SEI | Digitalização de documentos
SEI | Digitalização de documentosSEI | Digitalização de documentos
SEI | Digitalização de documentos
Colaborativismo
 

Semelhante a Política de segurança da informação diretrizes gerais (20)

Trabalho Segurança da Informação -
Trabalho Segurança da Informação - Trabalho Segurança da Informação -
Trabalho Segurança da Informação -
 
Estratégia de Segurança Cibernética para o SISP
Estratégia de Segurança Cibernética para o SISPEstratégia de Segurança Cibernética para o SISP
Estratégia de Segurança Cibernética para o SISP
 
Segurança da informação e sistema informatizado
Segurança da informação e sistema informatizadoSegurança da informação e sistema informatizado
Segurança da informação e sistema informatizado
 
Diretriz INTELIGENCIA ARTIFICIAL EME 2024 - port_1318-eme.pdf
Diretriz INTELIGENCIA ARTIFICIAL EME 2024 - port_1318-eme.pdfDiretriz INTELIGENCIA ARTIFICIAL EME 2024 - port_1318-eme.pdf
Diretriz INTELIGENCIA ARTIFICIAL EME 2024 - port_1318-eme.pdf
 
Consulta Pública - Requisitos de Segurança e Conformidade
Consulta Pública - Requisitos de Segurança e ConformidadeConsulta Pública - Requisitos de Segurança e Conformidade
Consulta Pública - Requisitos de Segurança e Conformidade
 
LGPD - 2020.06.03 lgpd
LGPD - 2020.06.03 lgpdLGPD - 2020.06.03 lgpd
LGPD - 2020.06.03 lgpd
 
V SEGINFO: “Segurança da Informação na Administração Pública Federal”
V SEGINFO: “Segurança da Informação na Administração Pública Federal”V SEGINFO: “Segurança da Informação na Administração Pública Federal”
V SEGINFO: “Segurança da Informação na Administração Pública Federal”
 
A Segurança da Informação nas Organizações Públicas Brasileiras
A Segurança da Informação nas Organizações Públicas BrasileirasA Segurança da Informação nas Organizações Públicas Brasileiras
A Segurança da Informação nas Organizações Públicas Brasileiras
 
Boas Praticas da Seg.Infor..pdf
Boas Praticas da Seg.Infor..pdfBoas Praticas da Seg.Infor..pdf
Boas Praticas da Seg.Infor..pdf
 
PETIC 2.0 - GERTEC - SEFAZ/SE - 2009 - 2011
PETIC 2.0 - GERTEC - SEFAZ/SE - 2009 - 2011PETIC 2.0 - GERTEC - SEFAZ/SE - 2009 - 2011
PETIC 2.0 - GERTEC - SEFAZ/SE - 2009 - 2011
 
Plano governanca-em-ti-sti
Plano governanca-em-ti-stiPlano governanca-em-ti-sti
Plano governanca-em-ti-sti
 
Plano governanca-em-ti-sti
Plano governanca-em-ti-stiPlano governanca-em-ti-sti
Plano governanca-em-ti-sti
 
boas-praticas-ii.pdf
boas-praticas-ii.pdfboas-praticas-ii.pdf
boas-praticas-ii.pdf
 
Cloud computing-curso-dia4
Cloud computing-curso-dia4Cloud computing-curso-dia4
Cloud computing-curso-dia4
 
Artefato final
Artefato finalArtefato final
Artefato final
 
Artefato final PETIC
Artefato final PETICArtefato final PETIC
Artefato final PETIC
 
boas-praticas-i.pdf
boas-praticas-i.pdfboas-praticas-i.pdf
boas-praticas-i.pdf
 
Artefato PETIC Final Petrobras UO-SEAL
Artefato PETIC Final Petrobras UO-SEAL Artefato PETIC Final Petrobras UO-SEAL
Artefato PETIC Final Petrobras UO-SEAL
 
Agir f nery 01mar2019
Agir  f nery 01mar2019Agir  f nery 01mar2019
Agir f nery 01mar2019
 
SEI | Digitalização de documentos
SEI | Digitalização de documentosSEI | Digitalização de documentos
SEI | Digitalização de documentos
 

Política de segurança da informação diretrizes gerais

  • 1. NORMA TÉCNICA ATI-SGR-PR/001:10 Política de Segurança da Informação – Diretrizes Gerais Versão 2.0 Válida a partir da publicação da Resolução 001/2010 Palavras-chave: Segurança, Informação, Diretrizes, Regras, Normas, Risco, Continuidade, Vulnerabilidade, Incidente, Ativo. Direitos autorais exclusivos da ATI, sendo permitida reprodução parcial ou total, desde que citada a fonte (ATI), mantido o texto original e não acrescentado nenhum tipo de propaganda comercial. 26 páginas
  • 2. NORMA ATI-SGR-PR/001:09 Sumário Prefácio............................................................................................................................. 5 1 Introdução....................................................................................................................... 7 2 Escopo............................................................................................................................ 9 3 Termos e definições........................................................................................................ 9 4 Política de Segurança da Informação........................................................................... 11 4.1 Disposições Gerais.................................................................................................... 11 4.2 Atribuições e Responsabilidades............................................................................... 12 4.2.1 Comitê Gestor de Segurança – CGS...................................................................... 12 4.2.2 Presidência da ATI.................................................................................................. 13 4.2.3 Diretoria Executiva de Tecnologia da Informação e Comunicação – DTI................ 13 4.2.4 Unidade de Segurança da Informação – USI.......................................................... 13 4.2.5 Coordenadoria Executiva de Logística e Gestão – CLG......................................... 15 4.2.6 Gerência de Recursos Humanos – GRH................................................................ 15 4.2.7 Gerência Jurídica de Contratos e Convênios – GJC............................................... 16 4.2.8 Gerentes e Chefes de Unidades............................................................................. 16 4.2.9 Administradores de Sistemas Computacionais e de Comunicação........................ 17 4.2.10 Todos os Usuários................................................................................................ 17 4.3 Penalidades............................................................................................................... 17 4.4 Composição da Política de Segurança da Informação.............................................. 18 4.4.1 Diretrizes Gerais..................................................................................................... 19 4.4.2 Termo de Responsabilidade.................................................................................... 19 4.4.3 Documentos vinculados.......................................................................................... 20 5 Diretrizes Gerais da Política de Segurança da Informação........................................... 21 5.1 Gestão de Segurança da Informação........................................................................ 21 5.2 Gestão de Riscos...................................................................................................... 24 Agência Estadual de Tecnologia da Informação Governo do Estado Av. Rio Capibaribe, 147. São José – Recife-PE – Brasil de Pernambuco 50020-080 – Pabx: 55 81 3181.8000 www.ati.pe.gov.br – ati@ati.pe.gov.br 3
  • 3. NORMA ATI-SGR-PR/001:09 5.3 Plano de Continuidade de Negócio............................................................................ 24 5.4 Plano de Ação e Resposta a Incidentes.................................................................... 25 6 Bibliografia.................................................................................................................... 26 Agência Estadual de Tecnologia da Informação Governo do Estado Av. Rio Capibaribe, 147. São José – Recife-PE – Brasil de Pernambuco 50020-080 – Pabx: 55 81 3181.8000 www.ati.pe.gov.br – ati@ati.pe.gov.br 4
  • 4. NORMA ATI-SGR-PR/001:09 Prefácio A ATI – Agência Estadual de Tecnologia da Informação – é o órgão de coordenação e suporte técnico ao Sistema Estadual de Informática do Governo – SEIG – e que tem como atribuições propor e prover soluções integradoras de meios, métodos e competências, com uso intensivo e adequado da Tecnologia da Informação e Comunicação. A Política de Segurança da Informação foi elaborada pela Unidade de Segurança da Informação – USI – da ATI, redigida em conformidade com as convenções redacionais estabelecidas pela ATI [5] [6] e segundo os padrões nacionais e internacionais atualmente utilizados [1] [2] [3]. Esta Norma foi aprovada pelo Comitê Gestor de Segurança – CGS e substitui o documento intitulado Política de Segurança da Informação da ATI – PSI/ATI – Versão 1, de 2008. Agência Estadual de Tecnologia da Informação Governo do Estado Av. Rio Capibaribe, 147. São José – Recife-PE – Brasil de Pernambuco 50020-080 – Pabx: 55 81 3181.8000 www.ati.pe.gov.br – ati@ati.pe.gov.br 5
  • 5. NORMA ATI-SGR-PR/001:09 1 Introdução A Informática de Governo tem por objetivo instrumentalizar a prestação do serviço público, propiciando uma melhor gestão dos recursos do governo e possibilitando a integração entre seus órgãos para a troca de informações. O uso da Tecnologia da Informação na Administração Pública envolve grande acervo de recursos computacionais e informações que necessitam estar permanentemente protegidos contra acessos indevidos e adulterações. Em contrapartida aos benefícios que a informatização oferece, existe a constante tentativa de exploração maliciosa das informações, tornando-se imprescindível o zelo pela segurança, evitando as vulnerabilidades que dão margem a invasões e outros incidentes que resultam em perda da confidencialidade, integridade e disponibilidade das informações. Como parte de um conjunto de medidas de segurança, fica imprescindível a implantação de uma Política de Segurança da Informação que defina diretrizes, normas, padrões e requisitos mínimos, nos diversos aspectos que envolvem, direta e indiretamente, o trânsito e o acervo de informações, salvaguardando a sua exatidão, independentemente de onde e como estejam armazenadas. Agência Estadual de Tecnologia da Informação Governo do Estado Av. Rio Capibaribe, 147. São José – Recife-PE – Brasil de Pernambuco 50020-080 – Pabx: 55 81 3181.8000 www.ati.pe.gov.br – ati@ati.pe.gov.br 7
  • 6. NORMA ATI-SGR-PR/001:09 2 Escopo Essa Norma tem o objetivo de padronizar e estabelecer requisitos mínimos, a fim de proporcionar condições que assegurem a integridade, a confidencialidade, a disponibilidade, bem como a legalidade da informação no âmbito do ambiente computacional da ATI. As regras estabelecidas neste documento estendem-se a todos os que fazem parte da instituição, tais como empregados, servidores, cargos em comissão, terceirizados, estagiários, prestadores de serviços e os que, de alguma forma, fazem uso dos recursos computacionais da mesma. Esta Política engloba não apenas os requisitos de segurança lógica, mas, também, os de segurança física e de pessoal nos ambientes computacionais. 3 Termos e definições Para os efeitos deste documento, aplicam-se os seguintes termos e definições: 3.1 Segurança da informação Segurança da Informação consiste na preservação da confidencialidade, integridade e disponibilidade da informação, quais sejam: a) Confidencialidade – Garantia de que o acesso à informação seja obtido, apenas, por pessoas autorizadas; b) Integridade – Garantia de que a informação não seja adulterada; Agência Estadual de Tecnologia da Informação Governo do Estado Av. Rio Capibaribe, 147. São José – Recife-PE – Brasil de Pernambuco 50020-080 – Pabx: 55 81 3181.8000 www.ati.pe.gov.br – ati@ati.pe.gov.br 9
  • 7. NORMA ATI-SGR-PR/001:09 c) Disponibilidade – Garantia de que a informação esteja disponível sempre que requisitada pelos usuários autorizados. Há de ser considerado o aspecto da Legalidade, no que diz respeito ao cumprimento das normas provenientes do sistema jurídico brasileiro e tratados internacionais vigentes. 3.2 Ativos de Segurança da Informação São considerados Ativos de Segurança da Informação todos os elementos que contém informação de forma direta ou indireta ou que tenha alguma relação com a transmissão de informações. A informação pode estar contida em: a) Dispositivos digitais móveis; b) Equipamentos compostos por unidade de armazenamento; c) Mídia digital, impressa ou escrita; d) Pessoas; e) Nuvem. A informação pode ser transmitida por: a) Rede de dados; b) Dispositivos móveis; c) Mídia digital, impressa ou escrita; d) Comunicação oral e outros meios de comunicação pessoal. Agência Estadual de Tecnologia da Informação Governo do Estado Av. Rio Capibaribe, 147. São José – Recife-PE – Brasil de Pernambuco 50020-080 – Pabx: 55 81 3181.8000 www.ati.pe.gov.br – ati@ati.pe.gov.br 10
  • 8. NORMA ATI-SGR-PR/001:09 3.3 Política de Segurança da Informação A Política de Segurança da Informação, Política de Segurança ou simplesmente PSI, consiste em um conjunto de definições, diretrizes, restrições e requisitos que servem para nortear o uso de boas práticas no trato com os ambientes, recursos e ativos de segurança da informação, em aspectos físicos, lógicos e de pessoal, com a finalidade de proporcionar maior segurança às informações. 4 Política de Segurança da Informação 4.1 Disposições Gerais A Política de Segurança da Informação é um conjunto de normas baseadas em diretrizes preestabelecidas que, de forma estruturada e hierarquizada, criam procedimentos, regras e métodos provenientes de análise da estrutura organizacional em detrimento de regras de cunho internacional [1] [2] [3]. O fundamento dessa PSI é estabelecer as regras que permitam um nível de segurança aceitável diante das ameaças existentes à informação. Salienta-se que, em virtude de ser a Segurança da Informação (Ver 3.1) um processo contínuo, novas normas e possíveis alterações de versão estarão sendo implementadas. No caso de existirem conteúdos tratando de uma mesma situação, prevalecerá a versão mais recente, a mais especializada ou a hierarquicamente superior, submetida a avaliação do Comitê Gestor de Segurança da Informação (Ver 4.2.1), devendo, portanto, todos manterem-se atualizados e obedientes às normas em Agência Estadual de Tecnologia da Informação Governo do Estado Av. Rio Capibaribe, 147. São José – Recife-PE – Brasil de Pernambuco 50020-080 – Pabx: 55 81 3181.8000 www.ati.pe.gov.br – ati@ati.pe.gov.br 11
  • 9. NORMA ATI-SGR-PR/001:09 vigor que serão disponibilizadas para fins de conhecimento. 4.2 Atribuições e Responsabilidades Às estruturas de apoio, aos gestores, às chefias, aos analistas, aos técnicos e aos usuários dos ambientes, dos recursos, dos ativos de segurança da informação (Ver 3.2) e dos ativos computacionais da ATI, cabem cumprir atribuições e assumir responsabilidades específicas, com relação à Segurança da Informação, segundo as suas competências. 4.2.1 Comitê Gestor de Segurança – CGS a) Colaborar com a elaboração da Política de Segurança da Informação, junto à Unidade de Segurança da Informação da ATI; b) Aprovar a Política de Segurança da Informação, inclusive atualizações; c) Propor alterações à Política de Segurança da Informação, caso necessário; d) Definir o Plano Estratégico para implantação da Política de Segurança da Informação; e) Definir e aprovar os procedimentos e penalidades para se fazer cumprir a Política de Segurança; f) Coordenar a execução da Política de Segurança da ATI e dos demais órgãos integrantes da Informática de Governo do Estado de Pernambuco; g) Aprovar e propor medidas e contra medidas para correção de problemas causados por quebra ou fragilidade da Política de Segurança; h) Mobilizar os Gestores das áreas de risco para o cumprimento da Política Agência Estadual de Tecnologia da Informação Governo do Estado Av. Rio Capibaribe, 147. São José – Recife-PE – Brasil de Pernambuco 50020-080 – Pabx: 55 81 3181.8000 www.ati.pe.gov.br – ati@ati.pe.gov.br 12
  • 10. NORMA ATI-SGR-PR/001:09 de Segurança; 4.2.2 Presidência da ATI a) Presidir o Comitê Gestor de Segurança – CGS [7]; b) Colaborar com a elaboração da Política de Segurança da Informação, junto à Unidade de Segurança da Informação da ATI; c) Publicar Instrução Normativa implantando a Política de Segurança, as normas, os manuais e os procedimentos derivados da mesma; d) Cumprir e fazer cumprir a Política de Segurança da Informação; 4.2.3 Diretoria Executiva de Tecnologia da Informação e Comunicação – DTI a) Colaborar com a elaboração da Política de Segurança da Informação, junto à Unidade de Segurança da Informação da ATI; b) Disponibilizar os recursos necessários à implantação da Política de Segurança; c) Cumprir e fazer cumprir a Política de Segurança da Informação; d) Mobilizar os gestores, principalmente os das áreas de risco, para o cumprimento da Política de Segurança; 4.2.4 Unidade de Segurança da Informação – USI a) Elaborar a Política de Segurança com aprovação do CGS; b) Definir as soluções técnicas e os recursos computacionais necessários para a implantação e adequação do ambiente computacional da ATI à Agência Estadual de Tecnologia da Informação Governo do Estado Av. Rio Capibaribe, 147. São José – Recife-PE – Brasil de Pernambuco 50020-080 – Pabx: 55 81 3181.8000 www.ati.pe.gov.br – ati@ati.pe.gov.br 13
  • 11. NORMA ATI-SGR-PR/001:09 Política de Segurança; c) Encaminhar solicitação dos recursos necessários para implantação da Política de Segurança à Diretoria, para as providências cabíveis; d) Implantar a Política de Segurança; e) Monitorar o cumprimento da Política de Segurança, encaminhando aos respectivos gestores, as ocorrências de descumprimento das Normas de Segurança por seus subordinados para as providências cabíveis; f) Avaliar o nível de segurança alcançado, através de procedimentos específicos de segurança da informação, podendo ter auxílio de ferramentas para tal; g) Efetuar mudanças na Política de Segurança sempre que houver alteração no ambiente computacional ou atualizações tecnológicas, a fim de manter e melhorar o nível de segurança; h) Coordenar ações de emergência, conforme Plano de Ação e Resposta a Incidentes (Ver 5.4), imediatamente após detecção ou conhecimento de incidentes de segurança no âmbito do ambiente computacional da ATI; i) Definir e implantar as medidas e contra medidas necessárias para correção de problemas causados por quebra ou fragilidade da Política de Segurança, encaminhando ao respectivo gestor da área envolvida, relatório técnico sobre o ocorrido e as respectivas providências tomadas, bem como, as recomendações de segurança a serem seguidas; j) Mobilizar os gestores, principalmente os das áreas de risco, para o cumprimento da Política de Segurança; Agência Estadual de Tecnologia da Informação Governo do Estado Av. Rio Capibaribe, 147. São José – Recife-PE – Brasil de Pernambuco 50020-080 – Pabx: 55 81 3181.8000 www.ati.pe.gov.br – ati@ati.pe.gov.br 14
  • 12. NORMA ATI-SGR-PR/001:09 4.2.5 Coordenadoria Executiva de Logística e Gestão – CLG a) Colaborar com a Política de Segurança da Informação quanto ao cumprimento das especificações relativas aos ambientes físicos, infraestrutura em geral, acesso físico, segurança patrimonial, iluminação, sinalização, emergência e demais atividades da responsabilidade desta coordenadoria; b) Disponibilizar os recursos necessários à implantação da Política de Segurança; c) Cumprir e fazer cumprir a Política de Segurança da Informação; d) Mobilizar os gestores, principalmente os das áreas de risco, para o cumprimento da Política de Segurança; 4.2.6 Gerência de Recursos Humanos – GRH a) Colaborar com o cumprimento da Política fornecendo, quando necessário, informações sobre os recursos humanos da ATI; b) Informar aos setores competentes, de forma imediata, sobre qualquer tipo de movimentação do trabalhador, tais como, mudança de cargo ou função, transferência, cessão, habilitação, demissão, exoneração, entre outras, que justifique controle de suas credenciais de acesso à empresa e aos recursos computacionais da mesma; c) Tomar providências para que os novos trabalhadores assinem o Termo de Responsabilidade (ver 4.4.2); d) Prestar auxílio à USI a respeito dos treinamentos sobre segurança da Agência Estadual de Tecnologia da Informação Governo do Estado Av. Rio Capibaribe, 147. São José – Recife-PE – Brasil de Pernambuco 50020-080 – Pabx: 55 81 3181.8000 www.ati.pe.gov.br – ati@ati.pe.gov.br 15
  • 13. NORMA ATI-SGR-PR/001:09 informação; e) Tomar as providências administrativas no caso de aplicação de penalidades aos trabalhadores quanto ao não cumprimento da Política de Segurança da Informação; 4.2.7 Gerência Jurídica de Contratos e Convênios – GJC a) Prestar auxílio à USI e ao CGS quanto aos aspectos jurídicos referentes à Segurança da Informação; b) Avaliar os incidentes de segurança causados por servidores do estado, recomendando as penalidades cabíveis; c) Tomar as providências jurídicas cabíveis em casos de incidentes de segurança; 4.2.8 Gerentes e Chefes de Unidades a) Colaborar com a USI e com o CGS na elaboração da Política de Segurança; b) Cumprir e fazer cumprir a Política de Segurança em relação aos seus subordinados; c) Propor mudanças à Política de Segurança de acordo com as necessidades iminentes detectadas na sua área de atuação; d) Tomar as providências cabíveis em caso de descumprimento da Política de Segurança por seus subordinados; e) Reportar, de imediato, à USI, qualquer incidente de segurança detectado ou, até mesmo, qualquer suspeita ou ameaça de incidentes; Agência Estadual de Tecnologia da Informação Governo do Estado Av. Rio Capibaribe, 147. São José – Recife-PE – Brasil de Pernambuco 50020-080 – Pabx: 55 81 3181.8000 www.ati.pe.gov.br – ati@ati.pe.gov.br 16
  • 14. NORMA ATI-SGR-PR/001:09 4.2.9 Administradores de Sistemas Computacionais e de Comunicação a) Adequar os sistemas computacionais e de comunicação em conformidade com a Política de Segurança; b) Monitorar os registros dos sistemas; c) Tomar as providências de emergência conforme Plano de Ação e Resposta a Incidentes, imediatamente após detecção ou conhecimento de incidentes de segurança no âmbito do ambiente computacional da ATI; d) Reportar, de imediato, à USI, qualquer incidente de segurança ou, até mesmo, suspeitas iminentes; e) Solicitar apoio e consultoria de segurança à USI quando se fizer necessário; 4.2.10 Todos os Usuários a) Cumprir as normas definidas na Política de Segurança; b) Reportar, de imediato, à USI, qualquer incidente de segurança ou, até mesmo, suspeitas iminentes; c) Sugerir medidas que possam elevar os níveis de segurança das instalações na sua área de atuação; 4.3 Penalidades A não observância dos preceitos desta Política poderá implicar na aplicação de sanções administrativas, cíveis e penais previstas na legislação em vigor que regule ou venha regular a matéria. Agência Estadual de Tecnologia da Informação Governo do Estado Av. Rio Capibaribe, 147. São José – Recife-PE – Brasil de Pernambuco 50020-080 – Pabx: 55 81 3181.8000 www.ati.pe.gov.br – ati@ati.pe.gov.br 17
  • 15. NORMA ATI-SGR-PR/001:09 As penalidades administrativas serão aplicadas após a sua devida apuração em processo administrativo disciplinar, sendo observados critérios de gravidade e reincidência dos atos de violação cometidos à Política de Segurança da Informação. As infrações ocorridas as normas que compõem essa Política de Segurança da Informação deverão ser analisadas pelo gestor imediato do infrator, que deverá comunicar imediatamente a Diretoria da ATI para fins de determinação da apuração das eventuais responsabilidades dos funcionários envolvidos. 4.4 Composição da Política de Segurança da Informação A presente Política de Segurança da Informação será composta por uma estrutura de documentos organizados de forma hierárquica, conforme a figura abaixo: Política de Segurança da Informação Diretrizes Gerais Termo de responsabilidadeTermo de responsabilidadeTermo de responsabil id adeTermo de responsabilidadeTermo de responsabilidad e Termo de responsabilidaadeTermo de responsabilidadeT ermo de responsabilidadeTermo de responssssabilidadeTer mo de responsaaaaaaabilidadeTermo de responsabilidadeTe ermo de responsabilidadeeTermo de responsabilidade Termo de Gestão de Plano de Plano de Ação e Responsabilidade Segurança da Gestão de Riscos Continuidade de Resposta a Termo de responsabilidadeTermo de responsabilidadeTermo Informação Negócio Incidentes de responsabil id adeTermo de responsabilidadeTermo de responsabilidad e Termo de responsabilidaadeTermo de responsabilidadeT ermo de responsabilidadeTermo de responssssabilidadeTer mo de responsaaaaaaabilidadeTermo de responsabilidadeTe rmo de responsabilidadeTermo de responsabilidadeTermo de responsabilidadeaaaaaaTermo de responsabilissssdad Termo de responsabilidadeeTermo de responsabilidade Ssmanuais manu manuais manua Ssmanuais manu m anuais manua Ssmanuais manu manuais manua Ssmanuais manu m anuais manua manuaisSsmanuais m anu m anuais m anua manuaisSsmanuais manu manuais manua manuaisSsmanuais manu manuais manua manuaisSsmanuais manu manuais manua manuaisSsmanuais m anu m anuais m anua manuaisSsmanuais manu manuais manua manuaisSsmanuais manu manuais manua manuaisSsmanuais manu manuais manua manuaisSsmanuais m asadsadddsdasnu manuaisSsmanuais masadsadddsdasnu manuaisSsmanuais masadsadddsdasnu manuaisSsmanuais masadsadddsdasnu manuais manua manuaisSsmanuais m anu manuais m anua manuaisSsmanuais manu manuais manua manuaisSsmanuais manu manuais m anua manuaisSsmanuais manu manuais manua manuaianua manuais manuais m anua manuaianua m anuais manuais manua manuaisSsmanuais manu manuais m anua manuaisSsmanuais manu manuais manua manuais manuais m anua manuais Normas Planos de Procedimentos Manuais Específicas Ação Ssmanuais manu m anuais manua Ssmanuais manu manuais manua manuaisSsmanuais manu manuais manua Ssmanuais manu manuais manua Ssmanuais manu manuais manua manuaisSsmanuais manu manuais manua manuaisSsmanuais manu manuais manua manuaisSsmanuais m anu m anuais m anua manuaisSsmanuais manu manuais manua manuaisSsmanuais manu manuais manua manuaisSsmanuais masadsadddsdasnu manuaisSsmanuais m anu m anuais m anua manuaisSsmanuais manu manuais manua manuaisSsmanuais masadsadddsdasnu manuais m anua manuaisSsmanuais manu manuaisSsmanuais m asadsadddsdasnu manuaisSsmanuais masadsadddsdasnu manuais manua manuaisSsmanuais manu manuais m anua manuaisSsmanuais manu manuais manua manuaisSsmanuais m anu manuais manua manuaisSsmanuais manu manuais manua manuaisSsmanuais manu manuais m anua manuais manuais manua manuaisSsmanuais m anu manuais manua manuaisSsmanuais manu manuais manua manuais manuais manua manuais manuais manua manuais Agência Estadual de Tecnologia da Informação Governo do Estado Av. Rio Capibaribe, 147. São José – Recife-PE – Brasil de Pernambuco 50020-080 – Pabx: 55 81 3181.8000 www.ati.pe.gov.br – ati@ati.pe.gov.br 18
  • 16. NORMA ATI-SGR-PR/001:09 4.4.1 Diretrizes Gerais As Diretrizes Gerais da Política de Segurança da Informação apontam os principais aspectos e propõem as características norteadoras para todo o conjunto de normas específicas, padrões, procedimentos, manuais, planos e demais documentos relacionados à Segurança da Informação no âmbito da ATI. Todos esses instrumentos deverão seguir os princípios elencados nessa norma de diretrizes gerais. Essas regras norteadoras, embora estejam unidas numa mesma mesma ideia, foram divididas para uma melhor compreensão em: a) Gestão de Segurança da Informação – Conjunto de medidas que visam a proteção dos ativos de segurança da informação; b) Gestão de Riscos – Conjunto de medidas que visam a remediação de riscos da informação, identificados através de análise; c) Plano de Continuidade de Negócio – Plano desenvolvido através da identificação de causas que possam afetar a disponibilidade dos serviços, trazendo soluções para seu imediato restabelecimento; d) Plano de Ação e Resposta a Incidentes – Plano que propõe medidas de resposta na ocasião de incidentes de segurança. 4.4.2 Termo de Responsabilidade A PSI conta com o Termo de Responsabilidade [4], em caráter complementar, cujo objetivo é dar ciência e ter o registro disso. Logo, todos os submetidos à PSI deverão assinar o referido Termo, no mesmo sentido incorrem os que futuramente ingressarem na organização, comprometendo-se à estrita observância e Agência Estadual de Tecnologia da Informação Governo do Estado Av. Rio Capibaribe, 147. São José – Recife-PE – Brasil de Pernambuco 50020-080 – Pabx: 55 81 3181.8000 www.ati.pe.gov.br – ati@ati.pe.gov.br 19
  • 17. NORMA ATI-SGR-PR/001:09 obediência às condições e requisitos contidos na PSI, e suas normas específicas presentes e futuras. 4.4.3 Documentos vinculados A Política de Segurança da Informação é composta por um conjunto de documentos vinculados às diretrizes gerais, trazendo, de forma detalhada, características técnicas e disciplinares visando o cumprimento das especificações e diretrizes dessa Política. Esses documentos tomam forma de normas complementares, planos de ação, procedimentos e manuais. As normas complementares são documentos que trazem regras detalhadas sobre uma temática específica. Novas normas ou novas versões de normas podem ser incluídas no rol e as existentes serem excluídas ou alteradas, respeitando as diretrizes gerais e a harmonia e convivência entre as normas que compõem a PSI. Os planos de ação são documentos que elencam diversas hipóteses de situações e determinam soluções para as mesmas. Os procedimentos servem para padronizar soluções diante de uma tarefa específica. Os manuais são instrumentos de orientação para agentes de segurança da informação. Podem ser definidos de uma forma geral e abstrata ou mesmo tratar de uma temática específica. O público-alvo desses manuais podem ser agentes de segurança leigos ou não. Agência Estadual de Tecnologia da Informação Governo do Estado Av. Rio Capibaribe, 147. São José – Recife-PE – Brasil de Pernambuco 50020-080 – Pabx: 55 81 3181.8000 www.ati.pe.gov.br – ati@ati.pe.gov.br 20
  • 18. NORMA ATI-SGR-PR/001:09 5 Diretrizes Gerais da Política de Segurança da Informação 5.1 Gestão de Segurança da Informação a) Esta Política de Segurança da Informação deve abranger todos os recursos humanos, administrativos e tecnológicos da ATI; b) A identificação do usuário por meio de crachá, senha ou outro meio é pessoal e intransferível, qualificando-o como responsável por todas as atividades desenvolvidas através da credencial, sendo pré-requisito para a liberação do uso de qualquer uma dessas formas de identificação, a assinatura de “Termo de Responsabilidade” (Ver 4.4.2), que comprove sua ciência às condições de uso, seus direitos e deveres quanto ao acesso dos recursos computacionais da ATI; c) Todo pessoal que integre direta ou indiretamente os recursos humanos da ATI é responsável pela segurança da informação, dentro de sua respectiva área de atuação; d) Somente atividades lícitas, éticas e administrativamente admitidas devem ser realizadas, pelos usuários, em geral, quando da utilização dos recursos computacionais da ATI, ficando os transgressores sujeitos às sanções (Ver 4.3) previstas nesta PSI; e) Devem existir, documentados e implantados, procedimentos específicos para bloqueio temporário ou definitivo de acesso aos recursos computacionais da ATI na ocorrência de afastamento ou desligamento de usuários credenciados; Agência Estadual de Tecnologia da Informação Governo do Estado Av. Rio Capibaribe, 147. São José – Recife-PE – Brasil de Pernambuco 50020-080 – Pabx: 55 81 3181.8000 www.ati.pe.gov.br – ati@ati.pe.gov.br 21
  • 19. NORMA ATI-SGR-PR/001:09 f) Aqueles que estão fora das atividades em virtude de afastamento, aposentadoria, demissão, exoneração, cessão, ou por qualquer outro motivo não desempenha mais sua função na ATI, serão responsabilizados por quaisquer atos que descumpriram essa PSI, ao tempo em que exerciam suas atividades; g) Deve existir programa de disseminação desta PSI assegurando que todos, que integram esta entidade, estejam cientes da obrigatoriedade de obediência às normas e recomendações aqui definidas; h) Deve ser implementado um programa permanente de conscientização sobre segurança da Informação de forma que seja esclarecido a todos os potenciais riscos de segurança a que estão expostos os ativos de segurança da informação, proporcionando, assim, maior cooperação para o cumprimento das normas desta PSI; i) É dever de todos os usuários, ao tomarem conhecimento de qualquer incidente de segurança da informação, notificar o fato imediatamente, à Unidade de Segurança da Informação - USI, para as providências cabíveis; j) Todos os usuários devem ter acesso aos recursos mínimos necessários à execução de suas tarefas no âmbito da ATI, salvo disposição em contrário expressa e específica; k) Os equipamentos e aplicações disponibilizados aos usuários devem ser orientados, previamente, por um projeto a fim de evitar situações de risco à segurança da informação e devem ser homologados em ambiente de teste e desenvolvimento antes de serem postos em produção; l) O uso de equipamentos particulares no âmbito da ATI será controlado e Agência Estadual de Tecnologia da Informação Governo do Estado Av. Rio Capibaribe, 147. São José – Recife-PE – Brasil de Pernambuco 50020-080 – Pabx: 55 81 3181.8000 www.ati.pe.gov.br – ati@ati.pe.gov.br 22
  • 20. NORMA ATI-SGR-PR/001:09 deverá estar em conformidade com as normas de segurança desta PSI; m) Todos os Ativos de Segurança da Informação (Ver 3.2) serão protegidos por essa PSI, baseando-se em critérios de classificação, criticidade, confidencialidade, risco de exposição, alinhados com as diretrizes estratégicas da ATI; n) Documentos e softwares desenvolvidos por funcionários e prestadores de serviço são de propriedade da ATI, ressalvados em casos expressamente assegurados por contrato formal; o) As informações de propriedade da ATI devem ser de uso restrito para os fins a que se destinam, não podendo, sob nenhum propósito, serem apropriadas ou divulgada a terceiros; p) Todas as informações devem ser protegidas contra perda, acessos e usos indevidos, devendo ser adotados procedimentos específicos e adequados ao grau de criticidade da informação, sob a responsabilidade direta do funcionário ou prestador de serviço que a detém em sua guarda; q) Esta Política de Segurança da Informação deve ser considerada como subsídio essencial para confecção de processos de aquisição de bens e serviços de Tecnologia da Informação; r) Os softwares adquiridos ou desenvolvidos devem obedecer às especificações de segurança estabelecidas por essa PSI; s) Deve ser implantado procedimento para ativar e manter registros de vulnerabilidades e ataques reportados por fontes confiáveis, além de medidas de controle e correção, promovendo-se, quando necessário, as devidas orientações de intervenção aos administradores dos recursos Agência Estadual de Tecnologia da Informação Governo do Estado Av. Rio Capibaribe, 147. São José – Recife-PE – Brasil de Pernambuco 50020-080 – Pabx: 55 81 3181.8000 www.ati.pe.gov.br – ati@ati.pe.gov.br 23
  • 21. NORMA ATI-SGR-PR/001:09 vulneráveis; t) O cumprimento da Política de Segurança da Informação será acompanhado e auditado por unidade responsável, sendo permitido, para isso, o monitoramento do tráfego e armazenamento de informação; 5.2 Gestão de Riscos a) Deve ser implementado um programa de gestão de riscos para análise dos ativos de segurança da informação (Ver 3.2) da ATI, bem como diversos outros elementos que agem direta ou indiretamente sobre esses ativos, com objetivo de identificar e remediar as vulnerabilidades que resultam em riscos para a segurança das informações; b) A Análise de Risco será feita periodicamente, emitindo relatório para apresentação e análise junto à Diretoria, ao Comitê Gestor de Segurança e demais Gestores; 5.3 Plano de Continuidade de Negócio a) Um plano de continuidade do negócio deve ser implementado e testado periodicamente para garantir a ininterrupção dos serviços críticos nos ambientes computacionais; b) Sistemas e dispositivos redundantes devem estar disponíveis para garantir a continuidade da operação dos serviços críticos quando necessário; c) Procedimentos específicos devem ser previstos para contingência nas diversas áreas de atuação dos ambientes computacionais, cabendo aos respectivos gestores, tomarem as providências cabíveis; Agência Estadual de Tecnologia da Informação Governo do Estado Av. Rio Capibaribe, 147. São José – Recife-PE – Brasil de Pernambuco 50020-080 – Pabx: 55 81 3181.8000 www.ati.pe.gov.br – ati@ati.pe.gov.br 24
  • 22. NORMA ATI-SGR-PR/001:09 5.4 Plano de Ação e Resposta a Incidentes a) Um plano de ação e resposta a incidentes deve ser estabelecido com o objetivo de conter e remediar qualquer incidente de segurança da Informação que venha a ocorrer; b) Os incidentes de segurança devem ser registrados para finalidade estatística, servindo de base para elaboração de futuras políticas e melhorias de segurança; Agência Estadual de Tecnologia da Informação Governo do Estado Av. Rio Capibaribe, 147. São José – Recife-PE – Brasil de Pernambuco 50020-080 – Pabx: 55 81 3181.8000 www.ati.pe.gov.br – ati@ati.pe.gov.br 25
  • 23. NORMA ATI-SGR-PR/001:09 6 Bibliografia [1] ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS (ABNT). NBRISO/IEC27001, Tecnologia da informação - Técnicas de segurança - Sistemas de gestão de segurança da informação – Requisitos, mar. de 2006. [2] ABNT. NBRISO/IEC27002, Tecnologia da informação - Técnicas de segurança - Código de prática para a gestão da segurança da informação, ago. de 2005. [3] ABNT. NBRISO/IEC27005, Tecnologia da informação - Técnicas de segurança - Gestão de riscos de segurança da informação, jul. de 2008. [4] ATI. Termo de Responsabilidade – Recife, 2008. Disponível em: <www.ati.pe.gov.br>. Acesso em: 08 de set. de 2010. [5] ATI. SEIG-GGT-PR/001-1:08. Versão 1.0 – Recife, 2009. Disponível em: <www.ati.pe.gov.br>. Acesso em: 08 de set. de 2010.. [6] ATI. SEIG-GGT-PR/001-2:08. Versão 1.0 – Recife, 2009. Disponível em: <www.ati.pe.gov.br>. Acesso em: 08 de set. de 2010. [7] ATI. Portaria N° 033/2008 – Recife, 2008. Disponível em: <www.ati.pe.gov.br>. Acesso em: 08 de set. de 2010. Agência Estadual de Tecnologia da Informação Governo do Estado Av. Rio Capibaribe, 147. São José – Recife-PE – Brasil de Pernambuco 50020-080 – Pabx: 55 81 3181.8000 www.ati.pe.gov.br – ati@ati.pe.gov.br 26