Portaria CGTI 1/2016
Publicação Boletim de Serviço nº 215, de 15/07/2016. (https://www.unila.edu.br/sites/default/files/boletim_215_15072016.pdf)
PORTARIA CGTI-UNILA Nº 1, DE 12 DE JULHO DE 2016
O Presidente do Comitê Gestor de Tecnologia da Informação, no exercício de suas atribuições, com base na Portaria UNILA nº 1238/2014, o que consta no Processo 23422.001321/2012-16, e,
CONSIDERANDO as informações tratadas no âmbito da UNILA, como ativos valiosos para a eficiente prestação dos serviços públicos;
CONSIDERANDO o interesse do cidadão como beneficiário dos serviços prestados pelos órgãos;
CONSIDERANDO o dever do Estado de proteção das informações pessoais dos cidadãos;
CONSIDERANDO a necessidade de incrementar a segurança das redes e bancos de dados governamentais;
CONSIDERANDO a necessidade de orientar a condução de políticas de segurança da informação e comunicações,
RESOLVE:
Art. 1º Aprovar as orientações para Gestão de Segurança da Informação e Comunicações que deverão ser implementadas pelas unidades administrativas e acadêmicas da Universidade Federal da Integração LatinoAmericana - UNILA.
Art. 2º Instituir o Comitê Gestor de Segurança da Informação e Comunicações – CGSIC, no âmbito da UNILA, vinculada ao Comitê Gestor de Tecnologia da Informação – CGTI, com caráter consultivo.
Art. 3º Estabelecer as atribuições do Gestor de Segurança da Informação e Comunicações – CGSIC.
Art. 4º Estabelecer as atribuições da Equipe de Resposta a Incidentes de Segurança Computacional - Computer Security Incident Response Team - CSIRT.
Art. 5º Para fins desta Portaria, entende-se por:
I. Política de Segurança da Informação e Comunicações - PoSIC: documento aprovado pela autoridade responsável, com o objetivo de fornecer diretrizes, critérios e suporte administrativo suficientes à implementação da segurança da informação e comunicações;
II. Segurança da Informação e Comunicações: ações que objetivam viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações;
III. Disponibilidade: propriedade de que a informação esteja acessível e utilizável sob demanda por uma pessoa física ou determinado sistema, órgão ou entidade;
IV. Integridade: propriedade de que a informação não foi modificada ou destruída de maneira não autorizada ou acidental;
V. Confidencialidade: propriedade de que a informação não esteja disponível ou seja revelada a pessoa física, sistema, órgão ou entidade não autorizado e credenciado;
VI. Autenticidade: propriedade de que a informação foi produzida, expedida, modificada ou destruída por uma determinada pessoa física, ou por um determinado sistema, órgão ou entidade;
VII. Gestão de Segurança da Informação e Comunicações: ações e métodos que visam à integração das atividades de gestão de riscos, gestão de continuidade do negócio, tratamento de incidentes, tratamento da informação, conformidade, credenciamento, segurança cibernética, segurança física, segurança lógica, segurança orgânica e segurança organizacional aos processos institucionais estratégicos, operacionais e táticos, não se limitando, portanto, à tecnologia da informação e comunicações;
VIII. Quebra de segurança: ação ou omissão, intencional ou acidental, que resulta no comprometimento da segurança da informação e das comunicações;
IX. Tratamento da informação: recepção, produção, reprodução, utilização, acesso, transporte, transmissão, distribuição, armazenamento, eliminação e controle da informação, inclusive as sigilosas;
X. Sistema de Gestão de Segurança da Informação (SGSI): conjunto de processos organizacionais e pessoas responsáveis pela preservação da confidencialidade, integridade e disponibilidade da informação por meio da aplicação de um processo de gestão de riscos. Tem como finalidade fornecer confiança para as partes interessadas de que os riscos são adequadamente gerenciados.
XI. Controles: contramedidas selecionadas para proteger as informações;
XII. Computer Security Incident Response Team - CSIRT: Equipe de Resposta a Incidentes de Segurança Computacional.
Art. 6º Ao Comitê Gestor de Segurança da Informação e Comunicações – CGSIC, compete:
I. assessorar a UNILA no aperfeiçoamento da Gestão de Segurança da Informação e Comunicações;
II. nomear um dos membros do CGSIC como Gestor de Segurança da Informação e Comunicações;
III. instituir e implementar a Computer Security Incident Response Team - CSIRT;
IV. coordenar as ações de segurança da informação e comunicações;
V. aplicar as ações corretivas e disciplinares cabíveis nos casos de quebra de segurança estabelecidas na PoSIC, sem o prejuízo das sindicâncias ou processos administrativos disciplinares e das ações penais ou civis;
VI. propor programa orçamentário específico para as ações de segurança da informação e comunicações;
VII. intermediar demandas oriundas de órgãos de externos, sobre sobre os assuntos relativos à segurança da informação e remeter os resultados consolidados dos trabalhos de auditoria demandados por órgãos de controle;
VIII. assessorar na implementação das ações de segurança da informação e comunicações;
IX. estabelecer os critérios de aceitação de risco;
X. propor alterações na Política de Segurança da Informação e Comunicações;
XI. propor normas relativas à segurança da informação e comunicações;
XII. elaborar o documento, ou o conjunto de documentos individuais relacionados, que estabelecem formalmente a Política de Segurança da Informação e Comunicação – PoSIC, a partir de:
a) estabelecimento do escopo da PoSIC;
b) identificação dos ativos a serem protegidos;
c) definição do padrão de classificação das informações a fim de assegurar um nível adequado de proteção;
d) realização da análise de risco;
e) estabelecimento dos controles necessários à segurança
da informação;
f) fixação das responsabilidades e papéis pela segurança da informação;
g) indicação de mecanismos indispensáveis à segurança física do ambiente;
h) normatização do processo disciplinar formal nos casos de violação e/ou mal uso dos sistemas de informação e comunicação na PoSIC;
i) definição na PoSIC de critérios para aquisição, desenvolvimento e manutenção de sistemas, no que tange à segurança da informação.
XIII. submeter a PoSIC e demais normas de segurança da informação e comunicações à aprovação do Comitê Gestor de Tecnologia de Informação - CGTI;
XIV. O CGSIC será composto pelas chefias das unidades da Coordenadoria de Tecnologia da Informação e Comunicação – CTIC;
XV. O CGSIC será presidido pelo chefe da CTIC.
Art. 7º Ao Gestor de Segurança da Informação e Comunicações, de que trata o inciso III. instituir e implementar a Computer Security Incident Response Team - CSIRT; II do art. 6ºI. assessorar a UNILA no aperfeiçoamento da Gestão de Segurança da Informação e Comunicações; , no âmbito de suas atribuições, incumbe:
I. implementar, manter e melhorar continuamente o Sistema de Gestão de Segurança da Informação (SGSI);
II. promover a cultura de segurança da informação e comunicações;
III. coordenar o treinamento de equipes sobre segurança da informação e comunicação;
IV. acompanhar as investigações e as avaliações dos danos decorrentes de quebras de segurança;
V. propor ajustes nos recursos orçamentários e de pessoal necessários às ações de segurança da informação e comunicações;
VI. instituir grupos de trabalho para tratar de temas específicos relacionados à segurança da informação e comunicações;
VII. coordenar a equipe de resposta a incidentes de que trata o I. planejar mecanismos para coleta de evidências;
VIII. realizar e acompanhar estudos de novas tecnologias cujo uso possa causar impacto na segurança da informação e comunicações;
IX. manter contato direto com órgãos responsáveis para o trato de assuntos relativos à segurança da informação e comunicações;
X. coordenar as atividades de análise de riscos;
XI. propor a criação de controles necessários à segurança da informação;
XII. coordenar procedimentos de auditoria;
XIII. implementar e avaliar os controles estabelecidos na PoSIC com auxílio de grupos de trabalho ;
XIV. estabelecer responsabilidades, papéis e procedimentos de segurança da informação.
Art. 8º À CSIRT, de que trata o inciso III do art. 6ºI. assessorar a UNILA no aperfeiçoamento da Gestão de Segurança da Informação e Comunicações; , no âmbito de suas atribuições, compete:
I. planejar mecanismos para coleta de evidências;
II. coletar evidências;
III. planejar a continuidade do negócio, a partir de:
a) estabelecimento de planos formais de contingência;
b) execução de planos de contingência;
c) estabelecimento de planos de backup.
IV. reestabelecer serviços;
V. executar ações de contingência;
VI. auditar sistemas e procedimentos;
VII. realizar análise e resposta a vulnerabilidades;
VIII. integrar outros grupos de resposta a incidentes externos à instituição.
Art. 9º O cidadão, como principal cliente da Gestão de Segurança da Informação e Comunicações da Administração Pública Federal, direta e indireta, poderá apresentar sugestões de melhorias ou denúncias de quebra de segurança.
Parágrafo único. As sugestões e/ou denúncias apresentadas deverão ser averiguadas pelo CGSI.
Art. 9º Esta Portaria entra em vigor na data de sua publicação.
Figura 1: Estrutura dos principais componentes da Gestão da Segurança da Informação e Comunicações
JOSUÉ MODESTO DOS PASSOS SUBRINHO
Presidente do Comitê Gestor de Tecnologia da Informação