Escolar Documentos
Profissional Documentos
Cultura Documentos
ATI-SGR-PR/001:10
Poltica de Segurana da
Informao Diretrizes Gerais
Verso 2.0
26 pginas
NORMA ATI-SGR-PR/001:09
Sumrio
Prefcio............................................................................................................................. 5
1 Introduo....................................................................................................................... 7
2 Escopo............................................................................................................................ 9
3 Termos e definies........................................................................................................ 9
4 Poltica de Segurana da Informao........................................................................... 11
4.1 Disposies Gerais.................................................................................................... 11
4.2 Atribuies e Responsabilidades............................................................................... 12
4.2.1 Comit Gestor de Segurana CGS...................................................................... 12
4.2.2 Presidncia da ATI.................................................................................................. 13
4.2.3 Diretoria Executiva de Tecnologia da Informao e Comunicao DTI................ 13
4.2.4 Unidade de Segurana da Informao USI.......................................................... 13
4.2.5 Coordenadoria Executiva de Logstica e Gesto CLG......................................... 15
4.2.6 Gerncia de Recursos Humanos GRH................................................................ 15
4.2.7 Gerncia Jurdica de Contratos e Convnios GJC............................................... 16
4.2.8 Gerentes e Chefes de Unidades............................................................................. 16
4.2.9 Administradores de Sistemas Computacionais e de Comunicao........................ 17
4.2.10 Todos os Usurios................................................................................................ 17
4.3 Penalidades............................................................................................................... 17
4.4 Composio da Poltica de Segurana da Informao.............................................. 18
4.4.1 Diretrizes Gerais..................................................................................................... 19
4.4.2 Termo de Responsabilidade.................................................................................... 19
4.4.3 Documentos vinculados.......................................................................................... 20
5 Diretrizes Gerais da Poltica de Segurana da Informao........................................... 21
5.1 Gesto de Segurana da Informao........................................................................ 21
5.2 Gesto de Riscos...................................................................................................... 24
NORMA ATI-SGR-PR/001:09
NORMA ATI-SGR-PR/001:09
Prefcio
A ATI Agncia Estadual de Tecnologia da Informao o rgo de
coordenao e suporte tcnico ao Sistema Estadual de Informtica do Governo
SEIG e que tem como atribuies propor e prover solues integradoras de
meios, mtodos e competncias, com uso intensivo e adequado da Tecnologia da
Informao e Comunicao.
A Poltica de Segurana da Informao foi elaborada pela Unidade de Segurana
da Informao USI da ATI, redigida em conformidade com as convenes
redacionais estabelecidas pela ATI [5] [6] e segundo os padres nacionais e
internacionais atualmente utilizados [1] [2] [3].
Esta Norma foi aprovada pelo Comit Gestor de Segurana CGS e substitui o
documento intitulado Poltica de Segurana da Informao da ATI PSI/ATI
Verso 1, de 2008.
NORMA ATI-SGR-PR/001:09
1 Introduo
A Informtica de Governo tem por objetivo instrumentalizar a prestao do servio
pblico, propiciando uma melhor gesto dos recursos do governo e possibilitando
a integrao entre seus rgos para a troca de informaes.
O uso da Tecnologia da Informao na Administrao Pblica envolve grande
acervo de recursos computacionais e informaes que necessitam estar
permanentemente protegidos contra acessos indevidos e adulteraes.
Em contrapartida aos benefcios que a informatizao oferece, existe a constante
tentativa de explorao maliciosa das informaes, tornando-se imprescindvel o
zelo pela segurana, evitando as vulnerabilidades que do margem a invases e
outros incidentes que resultam em perda da confidencialidade, integridade e
disponibilidade das informaes.
Como parte de um conjunto de medidas de segurana, fica imprescindvel a
implantao de uma Poltica de Segurana da Informao que defina diretrizes,
normas, padres e requisitos mnimos, nos diversos aspectos que envolvem,
direta e indiretamente, o trnsito e o acervo de informaes, salvaguardando a
sua exatido, independentemente de onde e como estejam armazenadas.
NORMA ATI-SGR-PR/001:09
2 Escopo
Essa Norma tem o objetivo de padronizar e estabelecer requisitos mnimos, a fim
de proporcionar condies que assegurem a integridade, a confidencialidade, a
disponibilidade, bem como a legalidade da informao no mbito do ambiente
computacional da ATI.
As regras estabelecidas neste documento estendem-se a todos os que fazem
parte da instituio, tais como empregados, servidores, cargos em comisso,
terceirizados, estagirios, prestadores de servios e os que, de alguma forma,
fazem uso dos recursos computacionais da mesma.
Esta Poltica engloba no apenas os requisitos de segurana lgica, mas,
tambm, os de segurana fsica e de pessoal nos ambientes computacionais.
3 Termos e definies
Para os efeitos deste documento, aplicam-se os seguintes termos e definies:
3.1
Segurana da informao
Segurana da Informao consiste na preservao da confidencialidade,
integridade e disponibilidade da informao, quais sejam:
a) Confidencialidade Garantia de que o acesso informao seja obtido,
apenas, por pessoas autorizadas;
b) Integridade Garantia de que a informao no seja adulterada;
NORMA ATI-SGR-PR/001:09
3.2
Ativos de Segurana da Informao
So considerados Ativos de Segurana da Informao todos os elementos que
contm informao de forma direta ou indireta ou que tenha alguma relao com
a transmisso de informaes.
A informao pode estar contida em:
a) Dispositivos digitais mveis;
b) Equipamentos compostos por unidade de armazenamento;
c) Mdia digital, impressa ou escrita;
d) Pessoas;
e) Nuvem.
A informao pode ser transmitida por:
a) Rede de dados;
b) Dispositivos mveis;
c) Mdia digital, impressa ou escrita;
d) Comunicao oral e outros meios de comunicao pessoal.
Agncia Estadual de Tecnologia da Informao
Governo do Estado Av. Rio Capibaribe, 147. So Jos Recife-PE Brasil
de Pernambuco
50020-080
Pabx: 55 81 3181.8000
www.ati.pe.gov.br ati@ati.pe.gov.br
10
NORMA ATI-SGR-PR/001:09
3.3
Poltica de Segurana da Informao
A Poltica de Segurana da Informao, Poltica de Segurana ou simplesmente
PSI, consiste em um conjunto de definies, diretrizes, restries e requisitos que
servem para nortear o uso de boas prticas no trato com os ambientes, recursos
e ativos de segurana da informao, em aspectos fsicos, lgicos e de pessoal,
com a finalidade de proporcionar maior segurana s informaes.
11
NORMA ATI-SGR-PR/001:09
12
NORMA ATI-SGR-PR/001:09
de Segurana;
4.2.2 Presidncia da ATI
a) Presidir o Comit Gestor de Segurana CGS [7];
b) Colaborar com a elaborao da Poltica de Segurana da Informao, junto
Unidade de Segurana da Informao da ATI;
c) Publicar Instruo Normativa implantando a Poltica de Segurana, as
normas, os manuais e os procedimentos derivados da mesma;
d) Cumprir e fazer cumprir a Poltica de Segurana da Informao;
4.2.3 Diretoria Executiva de Tecnologia da Informao e Comunicao DTI
a) Colaborar com a elaborao da Poltica de Segurana da Informao, junto
Unidade de Segurana da Informao da ATI;
b) Disponibilizar os recursos necessrios implantao da Poltica de
Segurana;
c) Cumprir e fazer cumprir a Poltica de Segurana da Informao;
d) Mobilizar os gestores, principalmente os das reas de risco, para o
cumprimento da Poltica de Segurana;
4.2.4 Unidade de Segurana da Informao USI
a) Elaborar a Poltica de Segurana com aprovao do CGS;
b) Definir as solues tcnicas e os recursos computacionais necessrios
para a implantao e adequao do ambiente computacional da ATI
13
NORMA ATI-SGR-PR/001:09
Poltica de Segurana;
c) Encaminhar solicitao dos recursos necessrios para implantao da
Poltica de Segurana Diretoria, para as providncias cabveis;
d) Implantar a Poltica de Segurana;
e) Monitorar o cumprimento da Poltica de Segurana, encaminhando aos
respectivos gestores, as ocorrncias de descumprimento das Normas de
Segurana por seus subordinados para as providncias cabveis;
f) Avaliar o nvel de segurana alcanado, atravs de procedimentos
especficos de segurana da informao, podendo ter auxlio de
ferramentas para tal;
g) Efetuar mudanas na Poltica de Segurana sempre que houver alterao
no ambiente computacional ou atualizaes tecnolgicas, a fim de manter
e melhorar o nvel de segurana;
h) Coordenar aes de emergncia, conforme Plano de Ao e Resposta a
Incidentes (Ver 5.4), imediatamente aps deteco ou conhecimento de
incidentes de segurana no mbito do ambiente computacional da ATI;
i) Definir e implantar as medidas e contra medidas necessrias para correo
de problemas causados por quebra ou fragilidade da Poltica de
Segurana, encaminhando ao respectivo gestor da rea envolvida, relatrio
tcnico sobre o ocorrido e as respectivas providncias tomadas, bem
como, as recomendaes de segurana a serem seguidas;
j) Mobilizar os gestores, principalmente os das reas de risco, para o
cumprimento da Poltica de Segurana;
14
NORMA ATI-SGR-PR/001:09
das
especificaes
relativas
aos
ambientes
fsicos,
15
NORMA ATI-SGR-PR/001:09
informao;
e) Tomar as providncias administrativas no caso de aplicao de
penalidades aos trabalhadores quanto ao no cumprimento da Poltica de
Segurana da Informao;
4.2.7 Gerncia Jurdica de Contratos e Convnios GJC
a) Prestar auxlio USI e ao CGS quanto aos aspectos jurdicos referentes
Segurana da Informao;
b) Avaliar os incidentes de segurana causados por servidores do estado,
recomendando as penalidades cabveis;
c) Tomar as providncias jurdicas cabveis em casos de incidentes de
segurana;
4.2.8 Gerentes e Chefes de Unidades
a) Colaborar com a USI e com o CGS na elaborao da Poltica de
Segurana;
b) Cumprir e fazer cumprir a Poltica de Segurana em relao aos seus
subordinados;
c) Propor mudanas Poltica de Segurana de acordo com as necessidades
iminentes detectadas na sua rea de atuao;
d) Tomar as providncias cabveis em caso de descumprimento da Poltica de
Segurana por seus subordinados;
e) Reportar, de imediato, USI, qualquer incidente de segurana detectado
ou, at mesmo, qualquer suspeita ou ameaa de incidentes;
Agncia Estadual de Tecnologia da Informao
Governo do Estado Av. Rio Capibaribe, 147. So Jos Recife-PE Brasil
de Pernambuco
50020-080
Pabx: 55 81 3181.8000
www.ati.pe.gov.br ati@ati.pe.gov.br
16
NORMA ATI-SGR-PR/001:09
4.3 Penalidades
A no observncia dos preceitos desta Poltica poder implicar na aplicao de
sanes administrativas, cveis e penais previstas na legislao em vigor que
regule ou venha regular a matria.
17
NORMA ATI-SGR-PR/001:09
Gesto de
Segurana da
Informao
Gesto de Riscos
Plano de
Continuidade de
Negcio
Plano de Ao e
Resposta a
Incidentes
Termo de
Responsabilidade
Termo de responsabilidadeTermo de responsabilidadeTermo
de responsabil id adeTermo de responsabilidadeTermo de
responsabilidad e Termo de responsabilidaadeTermo de
responsabilidadeT ermo de responsabilidadeTermo de
responssssabilidadeTer mo de responsaaaaaaabilidadeTermo
de responsabilidadeTe rmo de responsabilidadeTermo de
responsabilidadeTermo de responsabilidadeaaaaaaTermo de
responsabilissssdad Termo de responsabilidadeeTermo de
responsabilidade
Normas
Especficas
Planos de
Ao
Procedimentos
Ssmanuais manu manuais manua
manuaisSsmanuais manu manuais manua
manuaisSsmanuais manu manuais manua
manuaisSsmanuais masadsadddsdasnu
manuais manua manuaisSsmanuais manu
manuais manua manuaisSsmanuais manu
manuais manua manuais
Manuais
Ssmanuais manu m anuais manua
manuaisSsmanuais manu manuais manua
manuaisSsmanuais manu manuais manua
manuaisSsmanuais masadsadddsdasnu
manuais m anua manuaisSsmanuais manu
manuais m anua manuaisSsmanuais manu
manuais m anua manuais
18
NORMA ATI-SGR-PR/001:09
19
NORMA ATI-SGR-PR/001:09
20
NORMA ATI-SGR-PR/001:09
bloqueio
temporrio
ou
definitivo
de
acesso
aos
recursos
21
NORMA ATI-SGR-PR/001:09
22
NORMA ATI-SGR-PR/001:09
softwares
adquiridos
ou
desenvolvidos
devem
obedecer
23
NORMA ATI-SGR-PR/001:09
vulnerveis;
t) O
cumprimento
da
Poltica
de
Segurana
da
Informao
ser
24
NORMA ATI-SGR-PR/001:09
25
NORMA ATI-SGR-PR/001:09
6 Bibliografia
[1] ASSOCIAO BRASILEIRA DE NORMAS TCNICAS (ABNT).
NBRISO/IEC27001, Tecnologia da informao - Tcnicas de segurana Sistemas de gesto de segurana da informao Requisitos, mar. de 2006.
[2] ABNT. NBRISO/IEC27002, Tecnologia da informao - Tcnicas de segurana
- Cdigo de prtica para a gesto da segurana da informao, ago. de 2005.
[3] ABNT. NBRISO/IEC27005, Tecnologia da informao - Tcnicas de segurana
- Gesto de riscos de segurana da informao, jul. de 2008.
[4] ATI. Termo de Responsabilidade Recife, 2008. Disponvel em:
<www.ati.pe.gov.br>. Acesso em: 08 de set. de 2010.
[5] ATI. SEIG-GGT-PR/001-1:08. Verso 1.0 Recife, 2009. Disponvel em:
<www.ati.pe.gov.br>. Acesso em: 08 de set. de 2010..
[6] ATI. SEIG-GGT-PR/001-2:08. Verso 1.0 Recife, 2009. Disponvel em:
<www.ati.pe.gov.br>. Acesso em: 08 de set. de 2010.
[7] ATI. Portaria N 033/2008 Recife, 2008. Disponvel em: <www.ati.pe.gov.br>.
Acesso em: 08 de set. de 2010.
26