Política de Segurança Da Informação - Diretrizes Gerais

NORMA TCNICA
ATI-SGR-PR/001:10
Poltica de Segurana da
Informao Diretrizes Gerais
Verso 2.0
Vlida a partir da publicao da Resoluo 001/2010
Palavras-chave: Segurana, Informao, Diretrizes, Regras, Normas,

Risco, Continuidade, Vulnerabilidade, Incidente, Ativo.
Direitos autorais exclusivos da ATI, sendo permitida reproduo

parcial ou total, desde que citada a fonte (ATI), mantido o texto
original e no acrescentado nenhum tipo de propaganda comercial.
26 pginas
NORMA ATI-SGR-PR/001:09
Sumrio
Prefcio............................................................................................................................. 5
1 Introduo....................................................................................................................... 7
2 Escopo............................................................................................................................ 9
3 Termos e definies........................................................................................................ 9
4 Poltica de Segurana da Informao........................................................................... 11
4.1 Disposies Gerais.................................................................................................... 11
4.2 Atribuies e Responsabilidades............................................................................... 12
4.2.1 Comit Gestor de Segurana CGS...................................................................... 12
4.2.2 Presidncia da ATI.................................................................................................. 13
4.2.3 Diretoria Executiva de Tecnologia da Informao e Comunicao DTI................ 13
4.2.4 Unidade de Segurana da Informao USI.......................................................... 13
4.2.5 Coordenadoria Executiva de Logstica e Gesto CLG......................................... 15
4.2.6 Gerncia de Recursos Humanos GRH................................................................ 15
4.2.7 Gerncia Jurdica de Contratos e Convnios GJC............................................... 16
4.2.8 Gerentes e Chefes de Unidades............................................................................. 16
4.2.9 Administradores de Sistemas Computacionais e de Comunicao........................ 17
4.2.10 Todos os Usurios................................................................................................ 17
4.3 Penalidades............................................................................................................... 17
4.4 Composio da Poltica de Segurana da Informao.............................................. 18
4.4.1 Diretrizes Gerais..................................................................................................... 19
4.4.2 Termo de Responsabilidade.................................................................................... 19
4.4.3 Documentos vinculados.......................................................................................... 20
5 Diretrizes Gerais da Poltica de Segurana da Informao........................................... 21
5.1 Gesto de Segurana da Informao........................................................................ 21
5.2 Gesto de Riscos...................................................................................................... 24
Agncia Estadual de Tecnologia da Informao

Governo do Estado Av. Rio Capibaribe, 147. So Jos Recife-PE Brasil
de Pernambuco
50020-080
Pabx: 55 81 3181.8000
www.ati.pe.gov.br ati@ati.pe.gov.br
5.3 Plano de Continuidade de Negcio............................................................................ 24

5.4 Plano de Ao e Resposta a Incidentes.................................................................... 25
6 Bibliografia.................................................................................................................... 26

de Pernambuco
50020-080
Pabx: 55 81 3181.8000
Prefcio
A ATI Agncia Estadual de Tecnologia da Informao o rgo de
coordenao e suporte tcnico ao Sistema Estadual de Informtica do Governo
SEIG e que tem como atribuies propor e prover solues integradoras de
meios, mtodos e competncias, com uso intensivo e adequado da Tecnologia da
Informao e Comunicao.
A Poltica de Segurana da Informao foi elaborada pela Unidade de Segurana
da Informao USI da ATI, redigida em conformidade com as convenes
redacionais estabelecidas pela ATI [5] [6] e segundo os padres nacionais e
internacionais atualmente utilizados [1] [2] [3].
Esta Norma foi aprovada pelo Comit Gestor de Segurana CGS e substitui o
documento intitulado Poltica de Segurana da Informao da ATI PSI/ATI
Verso 1, de 2008.

de Pernambuco
50020-080
Pabx: 55 81 3181.8000
1 Introduo
A Informtica de Governo tem por objetivo instrumentalizar a prestao do servio
pblico, propiciando uma melhor gesto dos recursos do governo e possibilitando
a integrao entre seus rgos para a troca de informaes.
O uso da Tecnologia da Informao na Administrao Pblica envolve grande
acervo de recursos computacionais e informaes que necessitam estar
permanentemente protegidos contra acessos indevidos e adulteraes.
Em contrapartida aos benefcios que a informatizao oferece, existe a constante
tentativa de explorao maliciosa das informaes, tornando-se imprescindvel o
zelo pela segurana, evitando as vulnerabilidades que do margem a invases e
outros incidentes que resultam em perda da confidencialidade, integridade e
disponibilidade das informaes.
Como parte de um conjunto de medidas de segurana, fica imprescindvel a
implantao de uma Poltica de Segurana da Informao que defina diretrizes,
normas, padres e requisitos mnimos, nos diversos aspectos que envolvem,
direta e indiretamente, o trnsito e o acervo de informaes, salvaguardando a
sua exatido, independentemente de onde e como estejam armazenadas.

de Pernambuco
50020-080
Pabx: 55 81 3181.8000
2 Escopo
Essa Norma tem o objetivo de padronizar e estabelecer requisitos mnimos, a fim
de proporcionar condies que assegurem a integridade, a confidencialidade, a
disponibilidade, bem como a legalidade da informao no mbito do ambiente
computacional da ATI.
As regras estabelecidas neste documento estendem-se a todos os que fazem
parte da instituio, tais como empregados, servidores, cargos em comisso,
terceirizados, estagirios, prestadores de servios e os que, de alguma forma,
fazem uso dos recursos computacionais da mesma.
Esta Poltica engloba no apenas os requisitos de segurana lgica, mas,
tambm, os de segurana fsica e de pessoal nos ambientes computacionais.
3 Termos e definies
Para os efeitos deste documento, aplicam-se os seguintes termos e definies:
3.1
Segurana da informao
Segurana da Informao consiste na preservao da confidencialidade,
integridade e disponibilidade da informao, quais sejam:
a) Confidencialidade Garantia de que o acesso informao seja obtido,
apenas, por pessoas autorizadas;
b) Integridade Garantia de que a informao no seja adulterada;

de Pernambuco
50020-080
Pabx: 55 81 3181.8000
c) Disponibilidade Garantia de que a informao esteja disponvel sempre

que requisitada pelos usurios autorizados.
H de ser considerado o aspecto da Legalidade, no que diz respeito ao
cumprimento das normas provenientes do sistema jurdico brasileiro e tratados
internacionais vigentes.
3.2
Ativos de Segurana da Informao
So considerados Ativos de Segurana da Informao todos os elementos que
contm informao de forma direta ou indireta ou que tenha alguma relao com
a transmisso de informaes.
A informao pode estar contida em:
a) Dispositivos digitais mveis;
b) Equipamentos compostos por unidade de armazenamento;
c) Mdia digital, impressa ou escrita;
d) Pessoas;
e) Nuvem.
A informao pode ser transmitida por:
a) Rede de dados;
b) Dispositivos mveis;
c) Mdia digital, impressa ou escrita;
d) Comunicao oral e outros meios de comunicao pessoal.
de Pernambuco
50020-080
Pabx: 55 81 3181.8000
10
3.3
Poltica de Segurana da Informao
A Poltica de Segurana da Informao, Poltica de Segurana ou simplesmente
PSI, consiste em um conjunto de definies, diretrizes, restries e requisitos que
servem para nortear o uso de boas prticas no trato com os ambientes, recursos
e ativos de segurana da informao, em aspectos fsicos, lgicos e de pessoal,
com a finalidade de proporcionar maior segurana s informaes.
4 Poltica de Segurana da Informao

4.1 Disposies Gerais
A Poltica de Segurana da Informao um conjunto de normas baseadas em
diretrizes preestabelecidas que, de forma estruturada e hierarquizada, criam
procedimentos, regras e mtodos provenientes de anlise da estrutura
organizacional em detrimento de regras de cunho internacional [1] [2] [3].
O fundamento dessa PSI estabelecer as regras que permitam um nvel de
segurana aceitvel diante das ameaas existentes informao. Salienta-se
que, em virtude de ser a Segurana da Informao (Ver 3.1) um processo
contnuo, novas normas e possveis alteraes de verso estaro sendo
implementadas.
No caso de existirem contedos tratando de uma mesma situao, prevalecer a
verso mais recente, a mais especializada ou a hierarquicamente superior,
submetida a avaliao do Comit Gestor de Segurana da Informao (Ver 4.2.1),
devendo, portanto, todos manterem-se atualizados e obedientes s normas em
de Pernambuco
50020-080
Pabx: 55 81 3181.8000
11
vigor que sero disponibilizadas para fins de conhecimento.
4.2 Atribuies e Responsabilidades

s estruturas de apoio, aos gestores, s chefias, aos analistas, aos tcnicos e aos
usurios dos ambientes, dos recursos, dos ativos de segurana da informao
(Ver 3.2) e dos ativos computacionais da ATI, cabem cumprir atribuies e
assumir responsabilidades especficas, com relao Segurana da Informao,
segundo as suas competncias.
4.2.1 Comit Gestor de Segurana CGS
a) Colaborar com a elaborao da Poltica de Segurana da Informao, junto
Unidade de Segurana da Informao da ATI;
b) Aprovar a Poltica de Segurana da Informao, inclusive atualizaes;
c) Propor alteraes Poltica de Segurana da Informao, caso necessrio;
d) Definir o Plano Estratgico para implantao da Poltica de Segurana da
Informao;
e) Definir e aprovar os procedimentos e penalidades para se fazer cumprir a
Poltica de Segurana;
f) Coordenar a execuo da Poltica de Segurana da ATI e dos demais
rgos integrantes da Informtica de Governo do Estado de Pernambuco;
g) Aprovar e propor medidas e contra medidas para correo de problemas
causados por quebra ou fragilidade da Poltica de Segurana;
h) Mobilizar os Gestores das reas de risco para o cumprimento da Poltica

de Pernambuco
50020-080
Pabx: 55 81 3181.8000
12
de Segurana;
4.2.2 Presidncia da ATI
a) Presidir o Comit Gestor de Segurana CGS [7];
b) Colaborar com a elaborao da Poltica de Segurana da Informao, junto
c) Publicar Instruo Normativa implantando a Poltica de Segurana, as
normas, os manuais e os procedimentos derivados da mesma;
d) Cumprir e fazer cumprir a Poltica de Segurana da Informao;
4.2.3 Diretoria Executiva de Tecnologia da Informao e Comunicao DTI
a) Colaborar com a elaborao da Poltica de Segurana da Informao, junto
b) Disponibilizar os recursos necessrios implantao da Poltica de
Segurana;
c) Cumprir e fazer cumprir a Poltica de Segurana da Informao;
d) Mobilizar os gestores, principalmente os das reas de risco, para o
cumprimento da Poltica de Segurana;
4.2.4 Unidade de Segurana da Informao USI
a) Elaborar a Poltica de Segurana com aprovao do CGS;
b) Definir as solues tcnicas e os recursos computacionais necessrios
para a implantao e adequao do ambiente computacional da ATI

de Pernambuco
50020-080
Pabx: 55 81 3181.8000
13
Poltica de Segurana;
c) Encaminhar solicitao dos recursos necessrios para implantao da
Poltica de Segurana Diretoria, para as providncias cabveis;
d) Implantar a Poltica de Segurana;
e) Monitorar o cumprimento da Poltica de Segurana, encaminhando aos
respectivos gestores, as ocorrncias de descumprimento das Normas de
Segurana por seus subordinados para as providncias cabveis;
f) Avaliar o nvel de segurana alcanado, atravs de procedimentos
especficos de segurana da informao, podendo ter auxlio de
ferramentas para tal;
g) Efetuar mudanas na Poltica de Segurana sempre que houver alterao
no ambiente computacional ou atualizaes tecnolgicas, a fim de manter
e melhorar o nvel de segurana;
h) Coordenar aes de emergncia, conforme Plano de Ao e Resposta a
Incidentes (Ver 5.4), imediatamente aps deteco ou conhecimento de
incidentes de segurana no mbito do ambiente computacional da ATI;
i) Definir e implantar as medidas e contra medidas necessrias para correo
de problemas causados por quebra ou fragilidade da Poltica de
Segurana, encaminhando ao respectivo gestor da rea envolvida, relatrio
tcnico sobre o ocorrido e as respectivas providncias tomadas, bem
como, as recomendaes de segurana a serem seguidas;
j) Mobilizar os gestores, principalmente os das reas de risco, para o

de Pernambuco
50020-080
Pabx: 55 81 3181.8000
14
4.2.5 Coordenadoria Executiva de Logstica e Gesto CLG

a) Colaborar com a Poltica de Segurana da Informao quanto ao
cumprimento
das
especificaes
relativas
aos
ambientes
fsicos,
infraestrutura em geral, acesso fsico, segurana patrimonial, iluminao,

sinalizao, emergncia e demais atividades da responsabilidade desta
coordenadoria;
b) Disponibilizar os recursos necessrios implantao da Poltica de
Segurana;
c) Cumprir e fazer cumprir a Poltica de Segurana da Informao;
d) Mobilizar os gestores, principalmente os das reas de risco, para o
4.2.6 Gerncia de Recursos Humanos GRH
a) Colaborar com o cumprimento da Poltica fornecendo, quando necessrio,
informaes sobre os recursos humanos da ATI;
b) Informar aos setores competentes, de forma imediata, sobre qualquer tipo
de movimentao do trabalhador, tais como, mudana de cargo ou funo,
transferncia, cesso, habilitao, demisso, exonerao, entre outras, que
justifique controle de suas credenciais de acesso empresa e aos recursos
computacionais da mesma;
c) Tomar providncias para que os novos trabalhadores assinem o Termo de
Responsabilidade (ver 4.4.2);
d) Prestar auxlio USI a respeito dos treinamentos sobre segurana da

de Pernambuco
50020-080
Pabx: 55 81 3181.8000
15
informao;
e) Tomar as providncias administrativas no caso de aplicao de
penalidades aos trabalhadores quanto ao no cumprimento da Poltica de
Segurana da Informao;
4.2.7 Gerncia Jurdica de Contratos e Convnios GJC
a) Prestar auxlio USI e ao CGS quanto aos aspectos jurdicos referentes
Segurana da Informao;
b) Avaliar os incidentes de segurana causados por servidores do estado,
recomendando as penalidades cabveis;
c) Tomar as providncias jurdicas cabveis em casos de incidentes de
segurana;
4.2.8 Gerentes e Chefes de Unidades
a) Colaborar com a USI e com o CGS na elaborao da Poltica de
Segurana;
b) Cumprir e fazer cumprir a Poltica de Segurana em relao aos seus
subordinados;
c) Propor mudanas Poltica de Segurana de acordo com as necessidades
iminentes detectadas na sua rea de atuao;
d) Tomar as providncias cabveis em caso de descumprimento da Poltica de
Segurana por seus subordinados;
e) Reportar, de imediato, USI, qualquer incidente de segurana detectado
ou, at mesmo, qualquer suspeita ou ameaa de incidentes;
de Pernambuco
50020-080
Pabx: 55 81 3181.8000
16
4.2.9 Administradores de Sistemas Computacionais e de Comunicao

a) Adequar os sistemas computacionais e de comunicao em conformidade
com a Poltica de Segurana;
b) Monitorar os registros dos sistemas;
c) Tomar as providncias de emergncia conforme Plano de Ao e Resposta
a Incidentes, imediatamente aps deteco ou conhecimento de incidentes
de segurana no mbito do ambiente computacional da ATI;
d) Reportar, de imediato, USI, qualquer incidente de segurana ou, at
mesmo, suspeitas iminentes;
e) Solicitar apoio e consultoria de segurana USI quando se fizer
necessrio;
4.2.10 Todos os Usurios
a) Cumprir as normas definidas na Poltica de Segurana;
b) Reportar, de imediato, USI, qualquer incidente de segurana ou, at
mesmo, suspeitas iminentes;
c) Sugerir medidas que possam elevar os nveis de segurana das
instalaes na sua rea de atuao;
4.3 Penalidades
A no observncia dos preceitos desta Poltica poder implicar na aplicao de
sanes administrativas, cveis e penais previstas na legislao em vigor que
regule ou venha regular a matria.

de Pernambuco
50020-080
Pabx: 55 81 3181.8000
17
As penalidades administrativas sero aplicadas aps a sua devida apurao em

processo administrativo disciplinar, sendo observados critrios de gravidade e
reincidncia dos atos de violao cometidos Poltica de Segurana da
Informao.
As infraes ocorridas as normas que compem essa Poltica de Segurana da
Informao devero ser analisadas pelo gestor imediato do infrator, que dever
comunicar imediatamente a Diretoria da ATI para fins de determinao da
apurao das eventuais responsabilidades dos funcionrios envolvidos.
4.4 Composio da Poltica de Segurana da Informao

A presente Poltica de Segurana da Informao ser composta por uma estrutura
de documentos organizados de forma hierrquica, conforme a figura abaixo:
Poltica de Segurana da Informao

Diretrizes Gerais
Termo de responsabilidadeTermo de responsabilidadeTermo

de responsabil id adeTermo de responsabilidadeTermo de
responsabilidad e Termo de responsabilidaadeTermo de
responsabilidadeT ermo de responsabilidadeTermo de
responssssabilidadeTer mo de responsaaaaaaabilidadeTermo
de responsabilidadeTe ermo de responsabilidadeeTermo de
responsabilidade
Gesto de
Segurana da
Informao
Gesto de Riscos
Plano de
Continuidade de
Negcio
Plano de Ao e
Resposta a
Incidentes
Termo de
Responsabilidade
Termo de responsabilidadeTermo de responsabilidadeTermo
de responsabil id adeTermo de responsabilidadeTermo de
responsabilidad e Termo de responsabilidaadeTermo de
responsabilidadeT ermo de responsabilidadeTermo de
responssssabilidadeTer mo de responsaaaaaaabilidadeTermo
de responsabilidadeTe rmo de responsabilidadeTermo de
responsabilidadeTermo de responsabilidadeaaaaaaTermo de
responsabilissssdad Termo de responsabilidadeeTermo de
responsabilidade
Ssmanuais manu manuais manua

manuaisSsmanuais m anu m anuais m anua
manuaisSsmanuais m asadsadddsdasnu
manuais manua manuaisSsmanuais m anu
manuais manua manuaianua manuais
Ssmanuais manu m anuais manua

manuaisSsmanuais manu manuais manua
manuaisSsmanuais masadsadddsdasnu
manuais m anua manuaisSsmanuais manu
manuais m anua manuaianua m anuais
Normas
Especficas
Planos de
Ao

manuaisSsmanuais m asadsadddsdasnu
manuais manua manuais

manuais manua manuaisSsmanuais manu

Procedimentos

manuais m anua manuais
Manuais
manuais m anua manuais

de Pernambuco
50020-080
Pabx: 55 81 3181.8000
18
4.4.1 Diretrizes Gerais

As Diretrizes Gerais da Poltica de Segurana da Informao apontam os
principais aspectos e propem as caractersticas norteadoras para todo o
conjunto de normas especficas, padres, procedimentos, manuais, planos e
demais documentos relacionados Segurana da Informao no mbito da ATI.
Todos esses instrumentos devero seguir os princpios elencados nessa norma
de diretrizes gerais.
Essas regras norteadoras, embora estejam unidas numa mesma mesma ideia,
foram divididas para uma melhor compreenso em:
a) Gesto de Segurana da Informao Conjunto de medidas que visam a
proteo dos ativos de segurana da informao;
b) Gesto de Riscos Conjunto de medidas que visam a remediao de
riscos da informao, identificados atravs de anlise;
c) Plano de Continuidade de Negcio Plano desenvolvido atravs da
identificao de causas que possam afetar a disponibilidade dos servios,
trazendo solues para seu imediato restabelecimento;
d) Plano de Ao e Resposta a Incidentes Plano que prope medidas de
resposta na ocasio de incidentes de segurana.
4.4.2 Termo de Responsabilidade
A PSI conta com o Termo de Responsabilidade [4], em carter complementar, cujo
objetivo dar cincia e ter o registro disso. Logo, todos os submetidos PSI
devero assinar o referido Termo, no mesmo sentido incorrem os que futuramente
ingressarem na organizao, comprometendo-se estrita observncia e
de Pernambuco
50020-080
Pabx: 55 81 3181.8000
19
obedincia s condies e requisitos contidos na PSI, e suas normas especficas

presentes e futuras.
4.4.3 Documentos vinculados
A Poltica de Segurana da Informao composta por um conjunto de
documentos vinculados s diretrizes gerais, trazendo, de forma detalhada,
caractersticas tcnicas e disciplinares visando o cumprimento das especificaes
e diretrizes dessa Poltica. Esses documentos tomam forma de normas
complementares, planos de ao, procedimentos e manuais.
As normas complementares so documentos que trazem regras detalhadas sobre
uma temtica especfica. Novas normas ou novas verses de normas podem ser
includas no rol e as existentes serem excludas ou alteradas, respeitando as
diretrizes gerais e a harmonia e convivncia entre as normas que compem a
PSI.
Os planos de ao so documentos que elencam diversas hipteses de situaes
e determinam solues para as mesmas.
Os procedimentos servem para padronizar solues diante de uma tarefa
especfica.
Os manuais so instrumentos de orientao para agentes de segurana da
informao. Podem ser definidos de uma forma geral e abstrata ou mesmo tratar
de uma temtica especfica. O pblico-alvo desses manuais podem ser agentes
de segurana leigos ou no.

de Pernambuco
50020-080
Pabx: 55 81 3181.8000
20
5 Diretrizes Gerais da Poltica de Segurana da

Informao
5.1 Gesto de Segurana da Informao
a) Esta Poltica de Segurana da Informao deve abranger todos os
recursos humanos, administrativos e tecnolgicos da ATI;
b) A identificao do usurio por meio de crach, senha ou outro meio
pessoal e intransfervel, qualificando-o como responsvel por todas as
atividades desenvolvidas atravs da credencial, sendo pr-requisito para a
liberao do uso de qualquer uma dessas formas de identificao, a
assinatura de Termo de Responsabilidade (Ver 4.4.2), que comprove sua
cincia s condies de uso, seus direitos e deveres quanto ao acesso dos
recursos computacionais da ATI;
c) Todo pessoal que integre direta ou indiretamente os recursos humanos da
ATI responsvel pela segurana da informao, dentro de sua respectiva
rea de atuao;
d) Somente atividades lcitas, ticas e administrativamente admitidas devem
ser realizadas, pelos usurios, em geral, quando da utilizao dos recursos
computacionais da ATI, ficando os transgressores sujeitos s sanes (Ver
4.3) previstas nesta PSI;
e) Devem existir, documentados e implantados, procedimentos especficos
para
bloqueio
temporrio
ou
definitivo
de
acesso
aos
recursos
computacionais da ATI na ocorrncia de afastamento ou desligamento de

usurios credenciados;
de Pernambuco
50020-080
Pabx: 55 81 3181.8000
21
f) Aqueles que esto fora das atividades em virtude de afastamento,

aposentadoria, demisso, exonerao, cesso, ou por qualquer outro
motivo no desempenha mais sua funo na ATI, sero responsabilizados
por quaisquer atos que descumpriram essa PSI, ao tempo em que
exerciam suas atividades;
g) Deve existir programa de disseminao desta PSI assegurando que todos,
que integram esta entidade, estejam cientes da obrigatoriedade de
obedincia s normas e recomendaes aqui definidas;
h) Deve ser implementado um programa permanente de conscientizao
sobre segurana da Informao de forma que seja esclarecido a todos os
potenciais riscos de segurana a que esto expostos os ativos de
segurana da informao, proporcionando, assim, maior cooperao para
o cumprimento das normas desta PSI;
i) dever de todos os usurios, ao tomarem conhecimento de qualquer
incidente de segurana da informao, notificar o fato imediatamente,
Unidade de Segurana da Informao - USI, para as providncias cabveis;
j) Todos os usurios devem ter acesso aos recursos mnimos necessrios
execuo de suas tarefas no mbito da ATI, salvo disposio em contrrio
expressa e especfica;
k) Os equipamentos e aplicaes disponibilizados aos usurios devem ser
orientados, previamente, por um projeto a fim de evitar situaes de risco
segurana da informao e devem ser homologados em ambiente de teste
e desenvolvimento antes de serem postos em produo;
l) O uso de equipamentos particulares no mbito da ATI ser controlado e
de Pernambuco
50020-080
Pabx: 55 81 3181.8000
22
dever estar em conformidade com as normas de segurana desta PSI;

m) Todos os Ativos de Segurana da Informao (Ver 3.2) sero protegidos
por essa PSI, baseando-se em critrios de classificao, criticidade,
confidencialidade, risco de exposio, alinhados com as diretrizes
estratgicas da ATI;
n) Documentos e softwares desenvolvidos por funcionrios e prestadores de
servio so de propriedade da ATI, ressalvados em casos expressamente
assegurados por contrato formal;
o) As informaes de propriedade da ATI devem ser de uso restrito para os
fins a que se destinam, no podendo, sob nenhum propsito, serem
apropriadas ou divulgada a terceiros;
p) Todas as informaes devem ser protegidas contra perda, acessos e usos
indevidos, devendo ser adotados procedimentos especficos e adequados
ao grau de criticidade da informao, sob a responsabilidade direta do
funcionrio ou prestador de servio que a detm em sua guarda;
q) Esta Poltica de Segurana da Informao deve ser considerada como
subsdio essencial para confeco de processos de aquisio de bens e
servios de Tecnologia da Informao;
r) Os
softwares
adquiridos
ou
desenvolvidos
devem
obedecer
especificaes de segurana estabelecidas por essa PSI;

s) Deve ser implantado procedimento para ativar e manter registros de
vulnerabilidades e ataques reportados por fontes confiveis, alm de
medidas de controle e correo, promovendo-se, quando necessrio, as
devidas orientaes de interveno aos administradores dos recursos
de Pernambuco
50020-080
Pabx: 55 81 3181.8000
23
vulnerveis;
t) O
cumprimento
da
Poltica
de
Segurana
da
Informao
ser
acompanhado e auditado por unidade responsvel, sendo permitido, para

isso, o monitoramento do trfego e armazenamento de informao;
5.2 Gesto de Riscos

a) Deve ser implementado um programa de gesto de riscos para anlise dos
ativos de segurana da informao (Ver 3.2) da ATI, bem como diversos
outros elementos que agem direta ou indiretamente sobre esses ativos,
com objetivo de identificar e remediar as vulnerabilidades que resultam em
riscos para a segurana das informaes;
b) A Anlise de Risco ser feita periodicamente, emitindo relatrio para
apresentao e anlise junto Diretoria, ao Comit Gestor de Segurana e
demais Gestores;
5.3 Plano de Continuidade de Negcio

a) Um plano de continuidade do negcio deve ser implementado e testado
periodicamente para garantir a ininterrupo dos servios crticos nos
ambientes computacionais;
b) Sistemas e dispositivos redundantes devem estar disponveis para garantir
a continuidade da operao dos servios crticos quando necessrio;
c) Procedimentos especficos devem ser previstos para contingncia nas
diversas reas de atuao dos ambientes computacionais, cabendo aos
respectivos gestores, tomarem as providncias cabveis;

de Pernambuco
50020-080
Pabx: 55 81 3181.8000
24
5.4 Plano de Ao e Resposta a Incidentes

a) Um plano de ao e resposta a incidentes deve ser estabelecido com o
objetivo de conter e remediar qualquer incidente de segurana da
Informao que venha a ocorrer;
b) Os incidentes de segurana devem ser registrados para finalidade
estatstica, servindo de base para elaborao de futuras polticas e
melhorias de segurana;

de Pernambuco
50020-080
Pabx: 55 81 3181.8000
25
6 Bibliografia
[1] ASSOCIAO BRASILEIRA DE NORMAS TCNICAS (ABNT).
NBRISO/IEC27001, Tecnologia da informao - Tcnicas de segurana Sistemas de gesto de segurana da informao Requisitos, mar. de 2006.
[2] ABNT. NBRISO/IEC27002, Tecnologia da informao - Tcnicas de segurana
- Cdigo de prtica para a gesto da segurana da informao, ago. de 2005.
[3] ABNT. NBRISO/IEC27005, Tecnologia da informao - Tcnicas de segurana
- Gesto de riscos de segurana da informao, jul. de 2008.
[4] ATI. Termo de Responsabilidade Recife, 2008. Disponvel em:
<www.ati.pe.gov.br>. Acesso em: 08 de set. de 2010.
[5] ATI. SEIG-GGT-PR/001-1:08. Verso 1.0 Recife, 2009. Disponvel em:
<www.ati.pe.gov.br>. Acesso em: 08 de set. de 2010..
[6] ATI. SEIG-GGT-PR/001-2:08. Verso 1.0 Recife, 2009. Disponvel em:
<www.ati.pe.gov.br>. Acesso em: 08 de set. de 2010.
[7] ATI. Portaria N 033/2008 Recife, 2008. Disponvel em: <www.ati.pe.gov.br>.
Acesso em: 08 de set. de 2010.

de Pernambuco
50020-080
Pabx: 55 81 3181.8000
26

Política de Segurança Da Informação - Diretrizes Gerais

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Política de Segurança Da Informação - Diretrizes Gerais

Enviado por

Direitos autorais:

Formatos disponíveis

NORMA TCNICA

Vlida a partir da publicao da Resoluo 001/2010

Palavras-chave: Segurana, Informao, Diretrizes, Regras, Normas,

Direitos autorais exclusivos da ATI, sendo permitida reproduo

Agncia Estadual de Tecnologia da Informao

5.3 Plano de Continuidade de Negcio............................................................................ 24

Agncia Estadual de Tecnologia da Informao

Agncia Estadual de Tecnologia da Informao

Agncia Estadual de Tecnologia da Informao

Agncia Estadual de Tecnologia da Informao

c) Disponibilidade Garantia de que a informao esteja disponvel sempre

4 Poltica de Segurana da Informao

vigor que sero disponibilizadas para fins de conhecimento.

4.2 Atribuies e Responsabilidades

Agncia Estadual de Tecnologia da Informao

Agncia Estadual de Tecnologia da Informao

Agncia Estadual de Tecnologia da Informao

4.2.5 Coordenadoria Executiva de Logstica e Gesto CLG

infraestrutura em geral, acesso fsico, segurana patrimonial, iluminao,

Agncia Estadual de Tecnologia da Informao

4.2.9 Administradores de Sistemas Computacionais e de Comunicao

Agncia Estadual de Tecnologia da Informao

As penalidades administrativas sero aplicadas aps a sua devida apurao em

4.4 Composio da Poltica de Segurana da Informao

Poltica de Segurana da Informao

Termo de responsabilidadeTermo de responsabilidadeTermo

Ssmanuais manu manuais manua

Ssmanuais manu m anuais manua

Ssmanuais manu manuais manua

Ssmanuais manu manuais manua

Ssmanuais manu manuais manua

Ssmanuais manu m anuais manua

Agncia Estadual de Tecnologia da Informao

4.4.1 Diretrizes Gerais

obedincia s condies e requisitos contidos na PSI, e suas normas especficas

Agncia Estadual de Tecnologia da Informao

5 Diretrizes Gerais da Poltica de Segurana da

computacionais da ATI na ocorrncia de afastamento ou desligamento de

f) Aqueles que esto fora das atividades em virtude de afastamento,

dever estar em conformidade com as normas de segurana desta PSI;

especificaes de segurana estabelecidas por essa PSI;

acompanhado e auditado por unidade responsvel, sendo permitido, para

5.2 Gesto de Riscos

5.3 Plano de Continuidade de Negcio

Agncia Estadual de Tecnologia da Informao

5.4 Plano de Ao e Resposta a Incidentes

Agncia Estadual de Tecnologia da Informao

Agncia Estadual de Tecnologia da Informao

Você também pode gostar