Superintendência Estadual de Tecnologia da Informação e Comunicação

Plataforma de documentação operacional e gerencial da SETIC

Ferramentas do usuário

Ferramentas do site

Visitou: planejamento_aquisicoes cases_infraestrutura sif_-_sistema_integrado_de_frequencia confinamento_do_suas_em_ro sedam_licenciamento_ambiental clientes
playground:seguranca

Essa é uma revisão anterior do documento!

PORTARIA Nº 97 DE 09 DE JUNHO DE 2021

Institui a Política de Segurança da Informação - PSI aplicável aos dados e informações trafegadas na rede de dados da Superintendência Estadual de Tecnologia da Informação e Comunicação - SETIC, e dá outras providências.

Acesse em PDF

O SUPERINTENDENTE ESTADUAL DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO, no uso de suas atribuições legais, conferidas pelo art. 114-A, especialmente os incisos I, II, IV e XII, da Lei Complementar nº 965, de 20 de dezembro de 2017, e pelo Decreto de 01.01.2019, publicado no DOE n. 001, de 03.01.2019;
CONSIDERANDO a Política Nacional de Segurança da Informação, instituída pelo artigo 4º do Decreto nº 9.637, de 26 de dezembro de 2018, no âmbito da administração pública federal, com a finalidade de assegurar a segurança da informação a nível nacional, acarretando a necessidade de disciplinar esse tema por meio de normas de observância obrigatória;
CONSIDERANDO as recomendações propostas pela norma ABNT NBR ISO/IEC 27002:2013, reconhecida mundialmente como um código de prática para a gestão da segurança da informação, e que atende fielmente às exigências legais vigentes em nosso país, servindo de base para a formulação da presente Política de Segurança da Informação;
CONSIDERANDO que compete à SETIC planejar, estruturar e manter a infraestrutura tecnológica e operacional do Governo do Estado de Rondônia, operando e controlando sua estrutura de data center e interconexão de redes, mantendo a disponibilidade de seus ativos e garantindo a segurança das credenciais de acesso, da comunicação de dados e voz, bem como elaborar, coordenar, apoiar a implantação pelos Órgãos e supervisionar a conformidade das políticas de segurança da informação e comunicação da Administração Pública Estadual;
RESOLVE:





CAPÍTULO I
DISPOSIÇÕES GERAIS

Art. 1º Fica instituída a Política de Segurança da Informação a segurança das informações trafegadas na rede de dados da Supe Tecnologia da Informação e Comunicação e conhecimentos.

Art. 2º Para os fins do disposto nesta PSI, a segurança da informação abrange:

  1. a segurança cibernética;
  2. a segurança física e a proteção de dados organizacionais;
  3. as ações destinadas a assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação.

Art. 3º A PSI é uma declaração formal acerca do compromisso da SETIC com a proteção das informações de sua propriedade e/ou sob sua guarda, devendo ser cumprida por todos os envolvidos, internamente e externamente à Superintendência, sejam eles servidores, colaboradores, estagiários, prestadores de serviços, ou qualquer cidadão que tenha acesso a dados ou informações da rede de dados da SETIC.

Parágrafo único. O propósito da PSI é estabelecer diretrizes para as normas, procedimentos e instruções referentes à segurança da informação, atribuindo responsabilidades adequadas para o manuseio, tratamento, controle e proteção das informações.

Art. 4º São princípios da PSI:

  1. respeito e promoção dos direitos humanos e das garantias fundamentais, em especial a liberdade de expressão, a proteção de dados pessoais, a proteção da privacidade e o acesso à informação;
  2. visão abrangente e sistêmica da segurança da informação;
  3. fortalecimento da cultura de segurança da informação na sociedade;
  4. responsabilidade da SETIC na coordenação de esforços e no estabelecimento de políticas, estratégias e diretrizes relacionadas à
  5. intercâmbio científico e tecnológico relacionado à segurança da informação entre os órgãos e entidades da Administração Pública Estadual;
  6. educação como alicerce fundamental para o fomento da cultura em segurança da informação;
  7. articulação entre as ações de segurança cibernética, defesa cibernética, proteção de dados e ativos da informação;
  8. dever dos órgãos, das entidades e dos agentes públicos de garantir o sigilo das informações imprescindíveis à segurança da sociedade e do Estado da intimidade da vida privada, da honra e da imagem das pessoas;
  9. cooperação entre os órgãos de investigação, os demais órgãos e as entidades públicas no processo de credenciamento de pessoas para acesso às informações sigilosas;
  10. integração e cooperação entre o Poder Público, o Setor Empresarial, a Sociedade e as Instituições Acadêmicas.

Art. 5º São objetivos da PSI:

  1. contribuir para a segurança do indivíduo, da sociedade e do Estado, por meio da orientação das ações de segurança da informação, observados os direitos e as garantias fundamentais;
  2. fomentar as atividades de pesquisa científica, de desenvolvimento tecnológico e de inovação relacionadas à segurança da informação;
  3. aprimorar continuamente o arcabouço legal e normativo relacionado á segurança da informação;
  4. fomentar a formação e a qualificação dos recursos de pessoas necessários à área de segurança da informação;
  5. definir o escopo da segurança da informação na SETIC;
  6. permitir a adoção de soluções de segurança integradas;
  7. servir de referência para auditoria, apuração e avaliação de responsabilidades.
  8. orientar, por meio de suas diretrizes, todas as ações de segurança, para reduzir riscos e garantir a integridade, sigilo e disponibilidade das informações dos sistemas de informação e recursos tecnológicos;
  9. orientar ações relacionadas a:
  1. segurança dos dados custodiados por entidades públicas;
  2. segurança da informação das infraestruturas críticas;
  3. proteção das informações das pessoas físicas que possam ter sua segurança ou a segurança das suas atividades afetada, observada a legislação específica;
  4. tratamento das informações com restrição de acesso.

Art. 6º A utilização dos recursos de Tecnologia da Informação e Comunicação - TIC pertencentes à SETIC destina-se estritamente às suas funções corporativas e será monitorada, tendo seus registros administrados e mantidos pelo setor interno de operações.


CAPÍTULO II
DAS REFERÊNCIAS NORMATIVAS

Art. 7º A presente PSI tem como fundamentos as seguintes referências legais e normativas:

  1. Lei Federal nº 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais (LGPD);
  2. Lei Federal nº 12.965, de 23 de abril de 2014 - Marco Civil da Internet;
  3. Lei Federal nº 12.527, de 18 de novembro de 2011 - Lei de Acesso à Informação (LAI);
  4. Decreto Federal nº 9.637 de 26 de dezembro de 2018 - Institui a Política Nacional de Segurança da Informação, dispõe sobre a governança da segurança da informação;
  5. Lei Complementar Estadual nº 68, de 09 de dezembro de 1992 - Dispõe sobre o Regime Jurídico dos Servidores Públicos Civil do Estado de Rondônia;
  6. Decreto Estadual nº 9.832 de 12 de junho de 2019 - Dispõe sobre o Comitê Gestor da Segurança da Informação;
  7. NBR/ISO/IEC 27001/2006 - Estabelece os elementos de um Sistema de Gestão de Segurança da Informação;
  8. NBR/ISO/IEC 27002/2013 - Institui o Código de Melhores Práticas para Gestão de Segurança da Informação;
  9. NBR/ISO/IEC 27005:2008 - Diretrizes para o gerenciamento dos riscos de Segurança da Informação;
  10. Cartilha de Segurança para Internet, desenvolvida pelo CERT.br, mantido pelo NIC.br, com inteiro teor em http://cartilha.cert.br/;
  11. Instruções Normativas do Departamento de Segurança da Informação (DSI) do Gabinete de Segurança Institucional da Presidência da República (GSI/PR):
  1. NC nº 01/IN01/DSIC/GSI/PR, de 13 de junho de 2008;
  2. NC nº 02, de 14 de outubro de 2008;
  3. NC nº 03, de 3 de julho de 2009;
  4. NC nº 07, de 16 de julho de 2014;
  5. NC nº 09, de 16 de julho de 2014;
  6. NC nº 10, de 10 de fevereiro de 2012;
  7. NC nº 11, de 10 de fevereiro de 2012;
  8. NC nº 12, de 10 de fevereiro de 2012;
  9. NC nº 13, de 10 de fevereiro de 2012;
  10. NC nº 14, de 10 de fevereiro de 2012;
  11. NC nº 16, de 21 de novembro de 2012;
  12. NC nº 17, de 10 de abril de 2013;
  13. NC nº 18, de 10 de abril de 2013;
  14. NC nº 19, de 16 de julho de 2014.

Art. 8º Para os efeitos desta PSI, serão utilizados os conceitos e definições do Glossário de Segurança da Informação do Departamento de Segurança da Informação - DSI do Gabinete de Segurança Institucional da Presidência da República - GSI/PR, instituído pela Portaria nº 93, de 26 de setembro de 2019, publicada no Diário Oficial da União em 01/10/2019, edição 190, seção 1, página 3, e disponível em: http://www.in.gov.br/en/web/dou/-/portaria-n-93-de-26-de-setembro-de-2019-219115663 .


CAPÍTULO III
DA ORGANIZAÇÃO DA SEGURANÇA DA INFORMAÇÃO

Art. 9º A SETIC estabelecerá uma estrutura de gerenciamento para iniciar e controlar a implementação da segurança da informação em seu âmbito.

Art. 10º Fica criada a Comissão Permanente de Segurança da Informação - CPSI no âmbito da SETIC, responsável pela gestão da segurança da informação, exercendo suas competências nos termos desta Portaria.

Art. 11º A CPSI será composta por 04 (quatro) servidores com formação técnica na área ou notório conhecimento, presidida por um servidor efetivo dentre estes, a serem designados por portaria própria, pelo Superintendente Estadual de Tecnologia da Informação e Comunicação.

Art. 12º É obrigação de todo servidor que tomar conhecimento de incidente que afete a segurança da informação registrar o ocorrido através de chamado no sistema GLPI (Gestionnaire Libre de Parc Informatique) mantido pela SETIC, para análise da CPSI.


CAPÍTULO IV
DOS DISPOSITIVOS MÓVEIS

Art. 13º Entende-se por “dispositivo móvel” qualquer equipamento eletrônico com atribuições de mobilidade, de propriedade da SETIC ou de propriedade particular, a exemplo de notebooks, smartphones, tablets, televisores e sistemas de assistentes virtuais inteligentes.

Art. 14º Os dispositivos móveis corporativos serão regidos pelas seguintes regras:

  1. quando fornecidos pela SETIC, serão cadastrados, garantindo a sua identificação única, bem como a do usuário responsável pelo uso;
  2. serão utilizados única e exclusivamente por aqueles usuários que assumiram a responsabilidade pelo seu uso;
  3. será expressamente vedado aos usuários instalar aplicativos ou recursos não disponibilizados inicialmente no dispositivo sem permissão da CPSI;
  4. serão implementados mecanismos de autenticação, autorização e registro de acesso do usuário, bem como do dispositivo às conexões de rede e recursos disponíveis;
  5. os usuários serão orientados a respeito dos procedimentos de segurança acerca dos dispositivos que lhes forem disponibilizados, mediante a assinatura de Termo de Uso e Responsabilidade, não sendo admitida a alegação de seu desconhecimento nos casos de uso indevido.

Art. 15º Os dispositivos móveis de propriedade de particulares serão regidos pelas seguintes regras:

  1. o usuário proprietário de dispositivo móvel particular deverá solicitar ao seu chefe imediato a autorização para acesso aos recursos corporativos, conforme necessário;
  2. o chefe imediato definirá a quais recursos ou dados corporativos o dispositivo móvel particular terá acesso;
  3. serão individualmente autorizados pela CPSI, mediante solicitação expressa;
  4. serão cadastrados, garantindo a sua identificação única, bem como a do usuário responsável pelo uso;
  5. serão utilizados mecanismos de autenticação, autorização e registro de acesso do usuário, bem como do dispositivo às conexões de rede e recursos disponíveis;
  6. os usuários serão orientados a respeito dos procedimentos de segurança para os recursos e acessos que lhes forem disponibilizados, mediante a assinatura de Termo de Uso e Responsabilidade, não sendo admitida a alegação de seu desconhecimento nos casos de uso indevido.

Art. 16º Os dispositivos móveis de visitantes serão regidos pelas seguintes regras:

  1. a concessão de seu uso estará vinculada à conscientização do usuário acerca das normas internas de utilização da rede;
  2. obedecerão a procedimentos de controle e concessão de acesso a serem estabelecidos para visitantes que, durante sua permanência nas instalações da SETIC, necessitem conectar seus dispositivos móveis à internet.

Parágrafo único. Considerar-se-á visitante todo e qualquer usuário de rede que não integre o quadro de servidores públicos da SETIC.

Art. 17º O uso indevido do dispositivo móvel caracteriza que o usuário assumiu todos os riscos por sua conduta, tornando-se o único responsável por quaisquer danos, diretos ou indiretos, presentes ou futuros, que venha a causar à SETIC ou a terceiros.

Art. 18º É responsabilidade do usuário, no caso de furto, roubo, extravio ou danos materiais a um dispositivo móvel fornecido pela SETIC, notificar imediatamente seu chefe imediato e a CPSI, devendo simultaneamente procurar a ajuda das autoridades policiais registrando boletim de ocorrência policial, logo que possível, nos casos de furto ou roubo do dispositivo.


CAPÍTULO V
DAS REGRAS PARA UTILIZAÇÃO DO SERVIÇO DE ACESSO REMOTO EXTERNO

Art. 19º As regras para utilização do serviço de acesso remoto externo à rede de dados da SETIC visam à prevenção do acesso não autorizado às informações, evitando ameaças à integridade e sigilo das informações contidas na rede.

Art. 20º O acesso remoto externo à rede de dados da SETIC e a seus serviços corporativos somente será disponibilizado aos usuários que, oficialmente, executem atividade vinculada à atuação governamental e necessitam daquele acesso para execução de atividades externas, desde que devidamente autorizados pelo chefe imediato e certificados pela SETIC.

Art. 21º É vedada a utilização do acesso remoto para fins não relacionados às atividades corporativas.

§ 1º A SETIC irá monitorar e registrar toda conexão remota e de acesso à sua rede de dados.

§ 2º Os administradores de redes poderão ter permissão de acesso remoto aos recursos de TIC da SETIC, quando necessário para o desempenho de suas atribuições.

Art. 22º A solicitação de acesso remoto ocorrerá por meio de chamado registrado no sistema GLPI, contendo as seguintes informações do usuário e do serviço: nome completo; CPF; setor; email e telefone de contato; IP de destino; porta do serviço; tempo de validade do acesso remoto e justificativa.

Art. 23º O serviço de acesso remoto será cancelado nas seguintes

  1. finalização do período especificado na solicitação;
  2. perda da necessidade de utilização do serviço;
  3. transferência ou exoneração do usuário;
  4. identificação de vulnerabilidade, risco ou uso indevido no acesso concedido.

Art. 24º As conexões remotas à rede de dados da SETIC cumprirão os seguintes requisitos:

  1. utilização de certificado digital;
  2. criptografia das senhas e das informações que trafegam entre a estação remota e a rede.

CAPÍTULO VI
DA GESTÃO DE PESSOAS





CAPÍTULO VII
DA GESTÃO E CLASSIFICAÇÃO DE ATIVOS





CAPÍTULO VIII
DO CONTROLE DE ACESSO





CAPÍTULO IX
DO CORREIO ELETRÔNICO





CAPÍTULO X
DO ACESSO À INTERNET





CAPÍTULO XI
DAS ESTAÇÕES DE TRABALHO E DA REDE INTERNA





CAPÍTULO XII
DA CRIPTOGRAFIA





CAPÍTULO XIII
DA SEGURANÇA FÍSICA E DO AMBIENTE





CAPÍTULO XIV
DA SEGURANÇA NAS OPERAÇÕES





CAPÍTULO XV
DA SEGURANÇA NAS COMUNICAÇÕES





CAPÍTULO XVI
DO DESENVOLVIMENTO E MANUTENÇÃO DE SISTEMAS





CAPÍTULO XVII
DA CONFORMIDADE





CAPÍTULO XVIII
DISPOSIÇÕES FINAIS





ANEXO I





ANEXO II


playground/seguranca.1636389814.txt.gz · Última modificação: 2022/01/25 15:26 (edição externa)

Ferramentas da página

Exceto onde for informado ao contrário, o conteúdo neste wiki está sob a seguinte licença: CC Attribution-Share Alike 4.0 International
CC Attribution-Share Alike 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki