Minuta da Política de Segurança da Informação e Comunicações - POSIC
Órgão: Universidade Federal do Maranhão
Status: Encerrada
Publicação no DOU: 12/05/2022
Abertura: 12/05/2022
Encerramento: 31/05/2022
Processo: 23115.006855/2022-76
Contribuições recebidas: 1
Responsável pela consulta: Comissão de Governança Digital e Segurança da Informação
Contato: cgdsi@ufma.br
Resumo
Atendendo a legislação vigente e com o objetivo de estabelecer diretrizes, normas e procedimentos com o compromisso de resguardar as informações da UFMA e as informações sob nossa guarda, disponibilizamos a minuta de Política de Segurança da Informação e Comunicação (PoSIC) para ser analisada por toda a comunidade acadêmica. Esta análise é essencial, visto que esta política deverá ser observada por todos os servidores, discentes, colaboradores, prestadores de serviço e qualquer perfil que teve, tenha ou terá acesso a UFMA ou a suas informações. Este é o primeiro documento e ele norteará a construção dos demais.
Conteúdo
- Clique no balão ou no parágrafo que deseja contribuir -
RESOLUÇÃO CONSAD/UFMA - 2022
Aprova a Política de Segurança da Informação e Comunicações - PoSIC da Universidade Federal do Maranhão - UFMA.
O REITOR DA UNIVERSIDADE FEDERAL DO MARANHÃO, no uso de suas atribuições legais e estatutárias,
CONSIDERANDO a Lei nº 12.965, de 23 de abril de 2014, que estabelece princípios, garantias e deveres para o uso da internet no Brasil (Marco Civil da Internet);
CONSIDERANDO a Lei nº 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais (LGPD);
CONSIDERANDO o Decreto nº 10.332, de 28 de abril de 2020, que aprova a Estratégia de Governo Digital;
CONSIDERANDO a Instrução Normativa PR/GSI nº 1, de 27 de maio de 2020, que dispõe sobre a Estrutura de Gestão da Segurança da Informação nos órgãos e nas entidades da administração pública federal;
CONSIDERANDO o Decreto nº 10.641, de 2 de março de 2021, que altera o Decreto nº 9.736/2018 e o Decreto nº 2.295; os princípios da Política Nacional de Segurança da Informação, definidos no Decreto nº 9.637, de 26 de dezembro de 2018;
CONSIDERANDO o Decreto nº 10.222, de 5 de fevereiro de 2020, que aprova a Estratégia Nacional de Segurança Cibernética;
CONSIDERANDO a Portaria PR/GSI nº 93, de 26 de setembro de 2019, que aprova o Glossário de Segurança da Informação;
CONSIDERANDO a Norma Complementar nº 5/IN01/DSIC/GSIPR, de 14 de agosto de 2009, que dispõe sobre a criação de Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos (Etir);
CONSIDERANDO a RESOLUÇÃO Nº 264-CONSAD, 14 de dezembro de 2021, que aprova a Política de Gestão de Riscos da Universidade Federal do Maranhão;
CONSIDERANDO a Portaria GR Nº 572-2020, que estabelece a necessidade de aperfeiçoar a Governança Corporativa e em especial o disposto no Decreto nº 9.203, de 22/11/2017;
CONSIDERANDO a PORTARIA GR No 614/2021-MR que institui a Comissão de Governança Digital e Segurança da Informação;
CONSIDERANDO a RESOLUÇÃO Nº 226-CONSAD, 15 de junho de 2020 que institui o Comitê de Governança, Integridade e Transparência (CGIT);
CONSIDERANDO o que consta no Processo SEI nº 23115.006855/2022-76,
RESOLVE:
Art. 1º Fica aprovada a Política de Segurança da Informação e Comunicações - PoSIC/UFMA e suas Normas e Procedimentos Complementares na Universidade Federal do Maranhão, na forma de Anexo desta Resolução.
Art. 2º Esta Resolução entra em vigor em 01 de junho de 2022.
Natalino Salgado Filho
Reitor
ANEXO
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES DA UNIVERSIDADE FEDERAL DO MARANHÃO
CAPÍTULO I
DAS DISPOSIÇÕES PRELIMINARES
Art. 1º A Política de Segurança da Informação da Universidade Federal do Maranhão tem como finalidade estabelecer objetivos, princípios, diretrizes gerais, normas, competências, penalidades e política de atualização das ações de segurança da informação nas áreas de competência previstas na Resolução CONSUN 361/2021, de forma a assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação da UFMA.
Art. 2º A PoSIC/UFMA se aplica a todos os usuários de informações lotados em todas as unidades e subunidades acadêmicas e administrativas, bem como os agentes públicos, colaboradores internos ou externos que possuem ou possuíram vínculo com a UFMA.
§ 1º Os contratos firmados pela UFMA deverão conter cláusulas que determinem a observância desta PoSIC/UFMA e de seus atos normativos complementares por parte do contratado, bem como de seus dirigentes, prepostos, administradores, representantes e colaboradores.
§ 2° O conteúdo da PoSIC deve ser amplamente divulgado a todas as pessoas ou organizações que utilizam os meios físicos ou lógicos da Universidade.
CAPÍTULO II
DAS DEFINIÇÕES
Art. 3º Para efeitos desta Resolução, considera-se:
Acesso: ato de ingressar, transitar, conhecer ou consultar a informação, bem como a acessibilidade de usar os ativos de informação de um órgão ou entidade;
Agente Responsável: servidor público ou empregado ocupantes de cargo efetivo da APF, direta e indireta, que se enquadre em qualquer das opções seguintes: a) possuidor de credencial de segurança; b) incumbido de chefiar e gerenciar a Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais; c) incumbido de chefiar ou gerenciar o processo de Inventário e Mapeamento de Ativos de informação; d) incumbido de chefiar e gerenciar o uso de dispositivos móveis; e) incumbido da gestão do uso seguro de redes sociais;
Ameaça: conjunto de fatores externos ou causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização;
Atividade: processo ou conjunto de processos executados por um órgão ou entidade, ou em seu nome, que produzem ou suportem um ou mais produtos ou serviços;
Ativo: qualquer coisa que tenha valor para a organização;
Ativos de informação: os meios de armazenamento, transmissão e processamento da informação, os equipamentos necessários a isso, os sistemas utilizados para tal, os locais onde se encontram esses meios, e também os recursos humanos que a eles têm acesso;
Autenticidade: propriedade pela qual se assegura que a informação foi produzida, expedida, modificada ou destruída por uma determinada pessoa física, equipamento, sistema, órgão ou entidade;
Confidencialidade: propriedade pela qual se assegura que a informação não esteja disponível ou não seja revelada a pessoa, a sistema, a órgão ou a entidade, não autorizados nem credenciados;
Controle de acesso: conjunto de procedimentos, recursos e meios utilizados com a finalidade de conceder ou bloquear o acesso;
Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
Disponibilidade: propriedade pela qual se assegura que a informação esteja acessível e utilizável sob demanda por uma pessoa física ou determinado sistema, órgão ou entidade devidamente autorizados;
Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos (ETIR) - grupo de pessoas com a responsabilidade de receber, analisar e responder às notificações e atividades relacionadas a incidentes de segurança em redes de computadores;
Emissão de Alertas e Advertências - serviço que consiste em divulgar alertas ou advertências imediatas como uma reação diante de um incidente de segurança em redes de computadores, com o objetivo de advertir a comunidade ou dar orientações sobre como a comunidade deve agir diante do problema;
Ética: preservação dos direitos dos agentes públicos, sem comprometimento da Segurança da Informação e Comunicações;
Espaço Cibernético - espaço virtual composto por um conjunto de canais de comunicação da internet e outras redes de comunicação que garantem a interconexão de dispositivos de TIC e que engloba todas as formas de atividades digitais em rede, incluindo o armazenamento, processamento e compartilhamento de conteúdo além de todas as ações, humanas ou automatizadas, conduzidas através desse ambiente;
Gestão de ativos: processo de identificação dos ativos e de definição de responsabilidades pela manutenção apropriada de seu controle;
Gestão de continuidade dos serviços: processo de gestão que identifica ameaças potenciais para uma organização, bem como os possíveis impactos nas operações de negócio, caso essas ameaças se concretizem. Esse processo prevê a definição de estrutura para o aprimoramento da resiliência organizacional, de modo a se responder efetivamente às ameaças e salvaguardar os interesses das partes interessadas, a reputação e a marca da organização, assim como suas atividades de valor agregado;
Gestão de Riscos de Segurança da Informação e Comunicações: conjunto de processos que permitem identificar e implementar as medidas de proteção necessárias para minimizar ou eliminar os riscos a que estão sujeitos os seus ativos de informação, e equilibrá-los com os custos operacionais e financeiros envolvidos;
Gestão de Segurança da Informação e Comunicações: ações e métodos que visam à integração das atividades de gestão de riscos, gestão de continuidade do negócio, tratamento de incidentes, tratamento da informação, conformidade, credenciamento, segurança cibernética, segurança física, segurança lógica, segurança orgânica e segurança organizacional aos processos institucionais estratégicos, operacionais e táticos, não se limitando, portanto, no âmbito da tecnologia da informação e comunicações;
Gestor da Informação: Usuário da informação que ocupe cargo especifico, ao qual foi atribuída responsabilidade sob um ou mais ativos de informação criados, adquiridos, manipulados ou colocados sob a responsabilidade de sua área de atuação;
Gestor de segurança da informação e comunicações: é o servidor público responsável pelas ações de segurança da informação e comunicações de determinado órgão/instituição;
Incidente - evento, ação ou omissão, que tenha permitido, ou possa vir a permitir, acesso não autorizado, interrupção ou mudança nas operações (inclusive pela tomada de controle), destruição, dano, deleção ou mudança da informação protegida, remoção ou limitação de uso da informação protegida ou ainda a apropriação, disseminação e publicação indevida de informação protegida de algum ativo de informação crítico ou de alguma atividade crítica por um período de tempo inferior ao tempo objetivo de recuperação;
Incidente de Segurança - qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança dos sistemas de computação ou das redes de computadores;
Informação - dados, processados ou não, que podem ser utilizados para produção e para transmissão de conhecimento, contidos em qualquer meio, suporte ou formato;
Infraestrutura Cibernética - sistemas e serviços de informação e comunicações compostos por todo o hardware e software necessários para processar, armazenar e transmitir a informação, ou qualquer combinação desses elementos. O processamento inclui a criação, acesso, modificação e destruição da informação. O armazenamento engloba qualquer tipo de mídia na qual a informação esteja armazenada. A transmissão é composta tanto pela distribuição como pelo compartilhamento da informação, por qualquer meio;
Integridade: propriedade pela qual se assegura que a informação não foi modificada ou destruída de maneira não autorizada ou acidental;
IoT - acrônimo de Internet das Coisas (Internet of Things). Sistema interrelacionado de dispositivos computacionais, equipamentos digitais e mecânicos, e objetos aos quais são vinculados e que possuem a habilidade de transferir dados pela rede sem a necessidade de interação do tipo pessoa-pessoa ou pessoa-computador;
Quebra de Segurança - ação ou omissão, intencional ou acidental, que resulta no comprometimento da Segurança da Informação.
Segurança Cibernética: ações voltadas para a segurança de operações, de forma a garantir que os sistemas de informação sejam capazes de resistir a eventos no espaço cibernético capazes de comprometer a disponibilidade, a integridade, a confidencialidade e a autenticidade dos dados armazenados, processados ou transmitidos e dos serviços que esses sistemas ofereçam ou tornem acessíveis;
Segurança orgânica: conjunto de medidas passivas com o objetivo de prevenir e até mesmo obstruir as ações que visem ao comprometimento ou à quebra de segurança de uma organização. Inclui os processos relacionados às áreas: de pessoal, de documentação, das comunicações, da tecnologia da informação, dos materiais e das instalações de uma organização, dentre outros;
Segurança da Informação - ações que objetivam viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações;
Serviços: um meio de fornecer valor a clientes, facilitando a obtenção de resultados que eles desejam, sem que tenham que arcar com a propriedade de determinados custos e riscos;
Sistema de proteção física: sistema composto por pessoas, equipamentos e procedimentos para a proteção de ativos contra danos, roubo, sabotagem e outros prejuízos causados por ações humanas não autorizadas, conforme gestão da segurança física e ambiental;
Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
Tratamento da informação: conjunto de ações referentes à produção, recepção, classificação, utilização, acesso, reprodução, transporte, transmissão, distribuição, arquivamento, armazenamento, eliminação, avaliação, destinação ou controle da informação;
Tratamento da informação classificada: conjunto de ações referentes à produção, recepção, classificação, utilização, acesso, reprodução, transporte, transmissão, distribuição, arquivamento, armazenamento, eliminação, avaliação, destinação ou controle de informação classificada em qualquer grau de sigilo;
Usuário da informação: agente público que obteve autorização do responsável pela área interessada para acesso aos ativos de informação; e
Vulnerabilidade: conjunto de fatores internos ou causa potencial de um incidente indesejado, que podem resultar em risco para um sistema ou por uma organização, os quais podem ser evitados por uma ação interna de segurança da informação.
CAPÍTULO III
DOS PRINCÍPIOS
Art. 4º São princípios da PoSIC/UFMA:
I - Dever de garantir a disponibilidade, a integridade, a confidencialidade e a autenticidade de informações imprescindíveis à segurança da sociedade e do estado e a inviolabilidade da vida privada, da honra e da imagem das pessoas no exercício de suas atividades e funções;
II - Respeito e promoção dos direitos humanos e das garantias fundamentais, em especial a liberdade de expressão, a proteção de dados pessoais, a proteção da privacidade e o acesso à informação;
III - Educação continuada como alicerce fundamental para o fomento da cultura da segurança da informação;
IV - Orientação à gestão de riscos e à gestão da continuidade dos serviços;
V - Consentimento livre e esclarecido nos termos da legislação vigente;
VI - Integração e cooperação entre a Universidade, sociedade, instituições de ensino e pesquisa, setor produtivo e órgãos e entidades da administração pública direta e indireta da União, Estados, Distrito Federal e Municípios; e
VII - Estar alinhada ao plano de desenvolvimento institucional e ao plano diretor de tecnologia da informação e comunicação da UFMA.
CAPÍTULO IV
DOS OBJETIVOS
Art. 5º São objetivos da PoSIC/UFMA:
I - Direcionar ações estratégicas para implantação e manutenção da segurança da informação visando atender as competências previstas no Art. 1º, Inciso II e III, Portaria GR nº 176/2021-MR;
II - Nortear ações para conscientização e a qualificação de recursos humanos sobre a segurança da informação;
III - Instituir normas complementares para atender requisitos exigidos pela segurança da informação;
IV - Definir meios para prevenir e tratar incidentes de segurança da Informação de modo a preservar os ativos de informação e a imagem da instituição;
V - Orientar ações relacionadas com:
a) a segurança de dados e informações custodiadas pela UFMA;
b) a segurança dos ativos de informação da UFMA;
c) a proteção de dados e informações pessoais custodiadas pela UFMA; e
d) o tratamento de informações classificada ou com restrição de acesso;
VI - Instituir orientações que garantam a continuidade do negócio para a preservação da memória histórica, cultural e institucional da UFMA;
VIII - contribuir para a consecução da missão e dos objetivos estratégicos da UFMA.
CAPÍTULO V
DAS DIRETRIZES GERAIS
Art. 6º As diretrizes gerais da PoSIC/UFMA encontram-se organizadas em função dos níveis definidos a seguir:
I - Nível Estratégico: Define as diretrizes necessárias, alinhadas à visão institucional, que devem ser observadas para que a segurança da informação seja implantada;
II - Nível Tático: Conjunto de normas complementares sobre segurança da informação, que devem estar alinhadas às exigências definidas pelo nível estratégico. Estas normas devem abordar obrigatoriamente os seguintes temas:
a - gestão de tratamento de incidentes em segurança da informação;
b - gestão de ativos;
c - uso de computação em nuvem;
d - uso de dispositivos móveis e dispositivos IoT;
e - gestão do uso dos recursos operacionais e de comunicação, tais como, portal institucional, sistemas integrados de gestão, e-mail institucional, acesso à internet, redes sociais, dentre outros;
f - controle de acesso lógico;
g - gestão de riscos de segurança da informação;
h - gestão de continuidade de serviços;
i - aquisição, desenvolvimento e manutenção de sistemas da informação;
j - Backup e Restauração de Cópias de Segurança;
k - Propriedade Intelectual;
II - Nível Operacional: Conjunto de procedimentos técnicos que permitem a instrumentalização das normas complementares definidas no nível tático.
§ 1° O nível estratégico corresponde ao teor desta resolução e deve sempre estar alinhado à visão institucional.
§ 2° As normas complementares devem ser construídas pela Comissão de Governança Digital e Segurança da Informação (CGDSI).
§ 3° A parte que trata do nível operacional da segurança da informação deve ser operacionalizada pela Superintendência de Tecnologia da Informação.
§ 4° As Unidades Acadêmicas poderão criar normas e procedimentos complementares a esta PoSIC, desde que submetam ao Comitê de Governança, Integridade e Transparência para aprovação.
Seção I
DO TRATAMENTO DA INFORMAÇÃO
Art. 7º Toda informação produzida, acessada, coletada, armazenada, transmitida ou custodiada será considerada um ativo pertencente à UFMA, que deverá promover as medidas de segurança necessárias à integridade, disponibilidade e restrição de acesso às informações pessoais, sensíveis ou não, sigilosas e classificadas, e complementarmente, seus agentes públicos obedecerão às seguintes diretrizes:
I - o exercício do direito fundamental de acesso à informação pública ao cidadão, independentemente de motivação, ressalvadas as hipóteses de restrição legalmente previstas, nos termos da Lei nº 12.527, de 18 de novembro de 2011, regulamentada pelo Decreto nº 7.724, de 16 de maio de 2012;
II - o acesso a informações pessoais será disponibilizado somente ao titular da informação ou ao seu procurador devidamente constituído, mediante comprovação de identidade, nos termos do inciso II do art. 55 e art. 60, parágrafo único, inciso I, do Decreto nº 7.724, de 2012;
III - o tratamento de informações pessoais, sensíveis ou não, será realizado mediante a observância das normas contidas na Lei nº 13.709, de 14 de agosto de 2018; e
IV - o tratamento e armazenamento da informação classificada em qualquer grau de sigilo será realizado em observância aos termos disposto no Decreto nº 7.845, de 14 de novembro de 2012, e às normas complementares editadas pela Comissão Permanente de Avaliação de Documentos (CPAD), nesta Instituição, corresponde ao atendimento do Decreto Nº 10.148, de 2 de dezembro de 2019, Art. 9º.
V - Os recursos de Tecnologia da Informação e Comunicação (TIC) disponibilizados pela Universidade serão utilizados estritamente para propósito institucional. É vedado a qualquer usuário o uso dos recursos de Tecnologia da Informação e Comunicações para fins pessoais (próprios ou de terceiros), entretenimento, veiculação de opiniões político-partidárias ou religiosas, bem como para perpetrar ações que, de qualquer modo, possam constranger, assediar, ofender, caluniar, ameaçar, violar direito autoral ou causar prejuízos a qualquer pessoa física ou jurídica, assim como aquelas que atentem contra a moral e a ética, ou que prejudiquem o cidadão ou a imagem da instituição, comprometendo a integridade, a confidencialidade, a confiabilidade, autenticidade ou a disponibilidade das informações.
Seção II
DA SEGURANÇA FÍSICA E DO AMBIENTE
Art. 8º A segurança física e do ambiente será exercida por meio da combinação de ações de segurança orgânica e utilização de sistema de proteção física com a finalidade de assegurar as condições necessárias à prevenção de incidentes que possam afetar ativos, especialmente, físicos, serviços e agentes públicos da UFMA, durante o exercício de suas atribuições, e obedecerá às seguintes diretrizes:
I - os agentes públicos da UFMA devem seguir as normas vigentes relacionadas à segurança física e patrimonial, sob pena de responsabilidade administrativa;
II - as Unidades da UFMA deverão conservar suas instalações físicas de forma a manter a edificação em condições adequadas ao seu perfeito funcionamento, minimizando eventuais ocorrências de casos fortuitos ou de força maior que possam causar danos a Universidade; e
III - o cadastro, a entrada, a permanência, a circulação e a saída de pessoas nas instalações dos edifícios sede e anexos da UFMA serão monitorados e controlados pela área de vigilância da unidade, por meio do sistema de controle de acesso ou, ainda, por circuito fechado de câmeras, conforme definido em regulamentação interna da Superintendência de Infraestrutura. - SINFRA.
Seção III
AUDITORIA E CONFORMIDADE
Art.9. A auditoria em segurança da informação, observadas as normas, padrões e procedimentos técnicos específicos fixados pelo Gabinete de Segurança Institucional da Presidência da República - GSI/PR, consistirá na averiguação periódica das ações de segurança da informação referentes aos temas mencionados nas alíneas do inciso II do art. 6º desta resolução, e obedecerá às seguintes diretrizes:
I - aperfeiçoamento constante das ações de segurança da informação por meio da efetiva implementação da PoSIC/UFMA;
II - periodicidade condizente com a política de atualização definida no art. 30;
III - O uso dos recursos de tecnologia da informação e comunicações disponibilizados pela UFMA é passível de monitoramento e auditoria, devendo ser implementados e mantidos, à medida do possível, mecanismos que permitam a sua rastreabilidade;
IV - A entrada e saída de ativos de informação da UFMA deverá ser registrada e autorizada por autoridade competente mediante procedimento formal;
V - A Superintendência de Tecnologia da Informação manterá registros e procedimentos específicos, tais como trilhas de auditoria e outros que assegurem o rastreamento, acompanhamento, controle e verificação de acessos a todos os sistemas institucionais, à rede interna e à internet;
VI - A Ouvidoria da UFMA será responsável por manter canal de comunicação para recebimento de denúncias de infração a qualquer parte desta PoSIC; e
VI - observância das melhores práticas, nacionais e internacionais, de auditoria em segurança da informação.
Art. 10. A avaliação de conformidade em segurança da informação, observadas as normas, padrões e procedimentos técnicos específicos consistirá em sistemática verificação do adequado grau de confiança nos processos de gestão da segurança da informação, com vistas a evitar desconformidades em relação a requisitos técnicos previamente definidos.
Seção IV
DIVULGAÇÃO, SENSIBILIZAÇÃO E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO
Art. 11. A UFMA deverá promover continuamente a capacitação, reciclagem e o aperfeiçoamento de todos os usuários da instituição, por meio de programas de divulgação, sensibilização, conscientização e capacitação em segurança da informação, com o propósito de criar uma cultura de segurança da informação dentro da instituição.
§ 1º A elaboração de programas de divulgação, sensibilização e conscientização em segurança da informação, com o propósito de criar uma cultura de segurança da informação dentro da instituição, será responsabilidade da Superintendência de Comunicação e Eventos em parceria com a Superintendência de Tecnologia da Informação e quaisquer outras unidades que a instituição achar pertinente.
§ 2º Cabe à Comissão de Governança Digital e Segurança da Informação com apoio da Pró-Reitoria de Gestão de Pessoas promover continuamente a capacitação, reciclagem e o aperfeiçoamento de todos os usuários da instituição em parceria com a Superintendência de Tecnologia da Informação;
§ 3º Cabe ao Gestor de Segurança da Informação e Comunicações providenciar insumos que permitam a divulgação interna desta PoSIC e das normas e procedimentos dela decorrentes e ainda auxiliar as unidades responsáveis nas atribuições definidas nos §1° e §2° do caput.
CAPÍTULO VI
ESTRUTURA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Art. 12º A estrutura de Segurança da Informação terá as seguintes instâncias:
I - Comitê de Governança, Integridade e Transparência (CGIT);
II - Comissão de Governança Digital e Segurança da Informação;
III - Gestor(a) de Segurança da Informação;
IV - Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos (Etir);
V - Gestor da Informação; e
VI - Usuário da informação.
CAPÍTULO VII
DA EQUIPE DE PREVENÇÃO, TRATAMENTO E RESPOSTA A INCIDENTES CIBERNÉTICOS
Art. 13º A Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos (Etir) tem como missão atuar na prevenção, tratamento e resposta a incidentes de segurança cibernética, ocorridos nas redes de dados da UFMA.
Art. 14º A Etir atenderá solicitações de análise e respostas a incidentes demandadas formalmente ao Agente Responsável, conforme fluxo do processo disponível no portal institucional, na área de Transparência e Prestação de Contas.
Art. 15º A Etir poderá interagir com o Sistema de Administração dos Recursos de Tecnologia da Informação ? SISP e outros órgãos da administração pública federal, do Poder Legislativo, do Poder Judiciário e do Ministério Público que atuem no mesmo campo, fornecendo informações acerca dos incidentes de segurança ocorridos nas redes de dados da Universidade, alimentando as suas bases de conhecimento e fomentando a troca de tecnologias.
Art. 16º. A Etir será formada por servidores efetivos da área de Tecnologia da Informação da UFMA que, além de suas funções regulares, passarão a desempenhar as atividades relacionadas ao tratamento e resposta a incidentes na infraestrutura cibernética e demais recursos computacionais da instituição.
Art. 17. A Etir adotará o modelo de autonomia completa (nos termos do capítulo 9 da Norma Complementar nº 05/IN01/DSIC/GSIPR) e, assim, poderá conduzir ações e tomar as medidas necessárias para conter os incidentes de segurança cibernética.
Art. 18. A Etir estará vinculada ao CGIT e será composta por membros com reconhecida qualificação técnica e comportamento ético, indicados pelo(a) gestor(a) da área de Tecnologia da Informação e designados por portaria do Reitor.
Art. 19. A Etir funcionará como um grupo de trabalho permanente, de atuação primordialmente reativa e não exclusiva.
Parágrafo único. As atividades da Etir terão prioridade sobre aquelas designadas pelos chefes imediatos de seus respectivos integrantes.
Art. 20. São atividades da Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos:
I - auditar sistemas e procedimentos da infraestrutura cibernética da Universidade;
II - organizar e centralizar as atividades para o tratamento e resposta de incidentes de segurança em redes computacionais;
III - manter registro dos incidentes de segurança em redes de computadores notificados ou detectados, com o objetivo de assegurar registro histórico das atividades da Etir;
IV - coletar evidências em caso de incidentes de segurança da informação na rede interna de computadores;
V - gerenciar ações de contingência em conjunto com setores técnicos da área de TI;
VI - colaborar de maneira contínua com outros grupos de prevenção, tratamento e resposta de incidentes cibernéticos na administração pública federal direta, autárquica e fundacional e o Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo do Departamento de Segurança da Informação do Gabinete de Segurança Institucional da Presidência da República;
VII - emitir alertas e advertências relativos à segurança cibernética;
VIII - emitir relatórios e pareceres técnicos relativos à segurança cibernética;
IX - recomendar o aperfeiçoamento ou a implementação de novos controles de segurança da informação.
Parágrafo único. A Etir guia-se por padrões e procedimentos técnicos e normativos no contexto de tratamento de incidentes de rede e fará uso das melhores práticas de segurança da informação.
CAPÍTULO VIII
DAS COMPETÊNCIAS
Art. 21. Ao Comitê de Governança, Integridade e Transparência compete:
I - promover a simplificação administrativa, a modernização da gestão pública e a integração dos serviços, especialmente aqueles prestados por meio eletrônico, com vistas a atender as diretrizes gerais de segurança da informação;
II - monitorar o desempenho e avaliar a concepção, a implementação e os resultados da PoSIC/UFMA e de suas normas e procedimentos complementares;
III - incorporar padrões elevados de conduta para a garantia da segurança da informação e orientar o comportamento dos agentes públicos, em consonância com as funções e atribuições;
IV - Autorizar o planejamento da execução de programas, de projetos e de processos relativos à segurança da informação;
V - estabelecer diretrizes para o processo de gestão de riscos de segurança da informação, implementando controles internos correspondentes;
VI - assegurar a implantação de mecanismo de comunicação imediata sobre a existência de vulnerabilidades ou incidentes de segurança que impactem ou possam impactar os serviços prestados ou contratados;
VII - assegurar a implementação e manutenção de mecanismos, instâncias e práticas de governança da segurança da informação, em consonância com a legislação vigente;
VIII - observar a Política Nacional de Segurança da Informação - PNSI; e
IX - garantir recursos orçamentários para ações de segurança da informação.
Art. 22. Compete à Comissão de Governança Digital e Segurança da Informação:
I - promover ações de capacitação e profissionalização dos recursos humanos em temas relacionados à segurança da informação em parceria com a Pró-Reitoria de Gestão de Pessoas;
II - supervisionar as atividades desempenhadas pela Equipe de Tratamento e Resposta a Incidentes Cibernéticos em redes computacional;
III - coordenar e executar as ações de segurança da informação no âmbito de sua atuação;
IV - consolidar e analisar os resultados dos trabalhos de auditoria sobre a gestão de segurança da informação;
V - assessorar a implementação das ações de segurança da informação;
VI - propor a constituição de grupos de trabalho para tratar de temas e propor soluções específicas sobre segurança da informação;
VII - elaborar a PoSIC/UFMA e as normas e procedimentos internos de segurança da informação;
VIII - propor alterações à PoSIC/UFMA e às normas internas de segurança da informação; e
IX - Encaminhar ao Comitê de Governança, Integridade e Transparências, normas e procedimentos internos de segurança da informação.
Art. 23. Ao Gestor de Segurança da Informação compete:
I - assessorar a gestão em assuntos de segurança da informação;
II - coordenar a elaboração da Política de Segurança da Informação e Comunicações e das normas e procedimentos de segurança da informação;
III - coordenar a elaboração do Plano de Gestão de Riscos de Segurança da Informação;
IV - participar da elaboração do Plano de Continuidade de Negócios da instituição;
V - estimular ações de capacitação e de profissionalização de recursos humanos em temas relacionados à segurança da informação por meio do fornecimento de insumos que auxiliem para este fim;
VI - Coordenar a divulgação da política e das normas internas de segurança da informação a todos os servidores, usuários e prestadores de serviços que trabalham na instituição;
VII - incentivar estudos de novas tecnologias, bem como seus eventuais impactos relacionados à segurança da informação;
VIII - analisar os resultados dos trabalhos de auditoria sobre a gestão da segurança da informação;
IX - acompanhar a aplicação de ações corretivas e administrativas cabíveis nos casos de violação da segurança da informação;
X - estar alinhando com a unidade responsável por executar os assuntos relativos à segurança da informação e comunicação;
XI - acolher, analisar e dar encaminhamento às demandas relacionadas à segurança da informação, com exceção daquelas de competência do Agente Responsável.
XII - Sanar eventuais dúvidas sobre segurança da informação;
Parágrafo único. O(A) gestor(a) de segurança da informação será designado dentre os servidores de cargo efetivo da UFMA, com formação ou capacitação técnica compatível às suas atribuições.
Art. 24. A Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos:
Facilitar e coordenar as atividades de tratamento e resposta a incidentes de SIC;
Promover a recuperação de sistemas;
Agir proativamente com o objetivo de tratar incidentes de segurança, divulgando práticas e recomendações de SIC e avaliando condições de segurança de redes por meio de verificações de conformidade;
Realizar ações reativas, tais como recebimento de notificações de incidentes, orientação de equipes no reparo a danos e na análise de sistemas comprometidos, avaliando causas e responsáveis;
Analisar ataques e intrusões na rede de computadores da Universidade;
Executar as ações necessárias para tratar violações de segurança;
Obter informações quantitativas acerca dos incidentes ocorridos, com a descrição da natureza, causa, data da ocorrência, frequência e custos resultantes;
Cooperar com outras equipes de tratamento e resposta a incidentes; e
Participar de fóruns, redes nacionais e internacionais relativas à SIC.
Art. 25. Caberá ao Agente Responsável da Etir:
I - elaborar os procedimentos internos a serem observados pela Etir, com apoio da própria equipe, observando as melhores práticas em segurança cibernética;
II - gerenciar as atividades desempenhadas pela Etir;
III - distribuir as tarefas para a Etir, inclusive as de caráter proativo, respeitando as características de conhecimento técnico de cada membro;
IV - acompanhar as investigações e as avaliações dos danos decorrentes de quebras de segurança;
V - solicitar ao(à) gestor(a) da área de Tecnologia da Informação, quando necessário, a convocação de servidores da unidade, para atuar no tratamento e resposta de determinado incidente de segurança;
VI - assegurar que os usuários sejam informados sobre os procedimentos adotados em relação aos incidentes de segurança cibernética por eles comunicados;
VII - recomendar ações de capacitação, nos assuntos inerentes às atividades da Etir, para compor o Plano Anual de Capacitação.
Parágrafo único. O Agente Responsável será indicado pelo Superintendente de Tecnologia da Informação e designado por portaria do Reitor.
Art. 26. Caberá ao(s) Gestor (es) da informação:
I - Gerenciar o acesso à informações ou a sistemas de informação de sua área de atuação observando normas e procedimentos existentes;
II - Garantir que os usuários de informações sobre sua supervisão tenham conhecimento sobre esta resolução;
III - Realizar a gestão das informações geradas ou sob a responsabilidade de sua área
Art. 27. Caberá ao usuário da informação:
I - Conhecer e cumprir o teor desta resolução, assim como as demais normas e procedimentos ligadas a ela;
II - Buscar esclarecimento de dúvidas sobre esta resolução ou sobre quaisquer normas ou procedimentos a ela ligada usando os canais de comunicação estabelecidos pelo Gestor de Segurança da Informação;
III - Comunicar à Equipe de Tratamento e Resposta a Incidentes Cibernéticos qualquer incidente que possa vir a colocar em risco a segurança das informações ou dos ativos da instituição;
IV - Assinar termo de uso, que manifesta a ciência sobre esta resolução, assumindo a responsabilidade por seu cumprimento, para poder acessar os sistemas de informação disponibilizados pela UFMA.
CAPÍTULO IX
DAS PENALIDADES
Art. 28. A não observância do disposto na PoSIC/UFMA e nos seus atos normativos complementares acarretará responsabilização administrativa, civil e penal, na forma da legislação vigente.
Art. 29. O usuário responderá disciplinarmente e/ou civilmente pelo prejuízo que vier a ocasionar à instituição, podendo culminar com o seu desligamento e, se aplicáveis, eventuais processos criminais.
CAPÍTULO X
DA POLÍTICA DE ATUALIZAÇÃO
Art. 30. A PoSIC/UFMA e seus atos normativos e procedimentos complementares deverão ser revisados sempre que se fizer necessário, não excedendo o prazo máximo de 2 (dois) anos.
CAPÍTULO XI
DISPOSIÇÕES FINAIS
Art. 31. Todos os agentes públicos da UFMA devem conhecer e zelar pelo cumprimento da PoSIC/UFMA e adotar comportamento seguro, proativo e engajado no que diz respeito à segurança da informação, de acordo com o Código de Conduta Ética dos Agentes Públicos da UFMA.
Art. 32. Os casos omissos e as dúvidas decorrentes da aplicação do disposto nesta PoSIC, devem ser direcionados ao Comitê de Governança, Integridade e Transparência para aprovação, com a interveniência da Comissão de Governança Digital e Segurança da Informação.
Contribuições Recebidas
1 contribuição recebida
Para ver o teor das contribuições deve estar logado no portal