SERVIO PBLICO FEDERAL

RESOLUO CUNI N 054, DE 5 DE JULHO DE 2011.

Dispe sobre a Poltica de Segurana da Informao e Comunicaes da Universidade Federal de Lavras.

O Conselho Universitrio da Universidade Federal de Lavras, no uso de suas atribuies regimentais, com fulcro no disposto no artigo 5, incisos IV e VI, da Instruo Normativa GSI n 1, de 13/6/2008, do Gabinete de Segurana Institucional da Presidncia da Repblica, publicada na seo 1 do D.O.U. n 115, de 18/6/2008 e tendo em vista o que foi deliberado em sua reunio de 5/7/2011, aprova a presente Resoluo.

CAPTULO I DA POLTICA DE SEGURANA DA INFORMAO Art. 1 Fica estabelecida a Poltica de Segurana da Informao e Comunicaes da Universidade Federal de Lavras, tambm representada pela sigla PSIC/UFLA, contendo as diretrizes de segurana da informao e comunicaes no mbito da Instituio. Pargrafo nico. As diretrizes estabelecidas na PSIC/UFLA determinam as bases a serem seguidas pela UFLA segurana dos recursos computacionais e as informaes geradas na Universidade. Art. 2 Entende-se como PSIC/UFLA o conjunto de princpios que norteiam a gesto de segurana de informaes e que devem ser observados pela comunidade acadmica e demais usurios internos e externos que tiverem interao com os ativos de tecnologia da informao pertencentes UFLA. seguintes conceitos: Art. 3 Para fins da execuo da PSIC/UFLA aplicam-se os

I. Ativo de Informao qualquer recurso que faa parte dos sistemas de informao e meios para gerao de documentos que tenham valor para a UFLA;

II. Ativo de Sistema patrimnio composto por todos os dados e informaes geradas e manipuladas durante a execuo de sistemas e processos da UFLA; III. Ativo de Processamento patrimnio composto por todos os elementos de hardware, software, servio, infraestrutura ou instalaes fsicas necessrios para a execuo de sistemas e processos da UFLA, tanto aqueles produzidos internamente quanto os adquiridos pela universidade; IV. Controle de Acesso restries ao acesso s informaes de um sistema exercido pela gerncia de Segurana da Informao da UFLA; V. Custdia consiste na responsabilidade de se guardar um ativo para terceiros sem, contudo, permitir automaticamente o acesso ao ativo ou o direito de conceder acesso a outros; VI. Direito de Acesso privilgio associado a um cargo, pessoa ou processo para ter acesso a um ativo; VII. Ferramentas conjunto de equipamentos, programas, procedimentos, normas e demais recursos por meio dos quais se aplica a Poltica de Segurana da Informao da UFLA; VIII. Incidente de Segurana qualquer evento ou ocorrncia que promova uma ou mais aes que comprometa, ou que seja uma ameaa integridade, autenticidade ou disponibilidade de qualquer ativo da UFLA; IX. Proteo dos Ativos processo pelo qual os ativos devem receber classificao quanto ao grau de sensibilidade, sendo que o meio de registro de um ativo de informao deve receber a mesma classificao de proteo dada ao ativo que o contm; X. Responsabilidade obrigaes e deveres da pessoa que ocupa determinada funo em relao ao acervo de informaes. CAPTULO II DOS OBJETIVOS E DA ABRAGNCIA Art. 4 A PSIC/UFLA tem os seguintes objetivos: I. Federal de Lavras; II. orientar as aes de segurana, para reduzir riscos e garantir a integridade, autenticidade, confidencialidade e disponibilidade dos ativos de tecnologia da informao da UFLA; III. permitir a adoo de solues de segurana integradas; IV. servir de referncia para auditoria, apurao e avaliao de responsabilidades. 1 Para os efeitos desta Resoluo, em conformidade com o disposto no artigo 3, entende-se como ativo de tecnologia da informao qualquer informao que tenha valor para a UFLA, tais como sistemas de informao, banco de dados, imagens do sistema de segurana eletrnica, correspondncias eletrnicas, contedo de pginas Web, telefonia VoIP, ou qualquer outra informao armazenada e transmitida por meio digital, entre outros. definir o escopo da segurana da informao da Universidade

 2 As responsabilidades sobre os ativos sero definidos em normas e procedimentos especficos elaborados pelo Comit de Segurana da Informao e Comunicaes e submetidos aprovao do Conselho Universitrio (CUNI). Art. 5 I. II. III. IV. A Poltica de Segurana abrange os seguintes aspectos:

Requisitos de Segurana em Recursos Humanos; Requisitos de Segurana ao Patrimnio Fsico e Ambiental; Requisitos de Segurana Lgica; Requisitos de Segurana dos Recursos Criptogrficos.

Pargrafo nico. Os requisitos de segurana, dos itens citados neste artigo sero regulamentados por meio de normas e procedimentos especficos elaborados pelo Comit de Segurana da Informao e Comunicaes e submetidos aprovao do Conselho Universitrio. CAPTULO III DO GERENCIAMENTO DE RISCOS E INCIDENTES DE SEGURANA DA INFORMAO Art. 6 Entende-se como gerenciamento de risco o processo que visa proteo dos servios da UFLA, por meio da eliminao, reduo ou transferncia dos riscos, conforme seja economicamente (e estrategicamente) mais vivel. Os seguintes pontos principais devem ser identificados: I. II. protegido); III. avaliao de riscos (anlise da relao custo/benefcio). o que deve ser protegido; anlise de riscos (contra quem ou contra o qu deve ser

Art. 7 O processo de gerenciamento de riscos ser institudo e revisto periodicamente pela rea de segurana da informao da Diretoria de Gesto de Tecnologia da Informao (DGTI), para preveno contra riscos advindos de novas tecnologias e ameaas externas, visando elaborao de planos de ao apropriados para proteo aos ativos ameaados. Pargrafo nico. Todos os ativos da UFLA devero ser inventariados, classificados, reavaliados periodicamente pela DGTI e validados pelo Presidente do Comit de Segurana da Informao e Comunicaes. Art. 8 A DGTI apresentar planos de gerenciamento de incidentes e da ao de resposta a incidentes, a serem aprovados pelo Comit de Segurana da Informao e Comunicaes e submetido apreciao do Conselho Universitrio. Art. 9 Os incidentes de segurana da informao devero ser prontamente reportados, de forma sigilosa, s autoridades responsveis e apurados pela Diviso de Segurana da Informao da DGTI.

CAPTULO IV DOS DEVERES E DAS RESPONSABILIDADES Art. 10. dever de todo usurio dos ativos de informao: I. preservar a integridade e guardar sigilo das informaes de que fazem uso, bem como zelar e proteger os respectivos recursos de tecnologia da informao (TI); II. cumprir a PSIC/UFLA, sob pena de incorrer nas sanes disciplinares e legais cabveis; III. utilizar os Sistemas de Informaes da UFLA e os recursos a ela relacionados somente para os fins previstos pela DGTI; IV. cumprir as regras, normas e procedimentos de proteo estabelecidos aos ativos de informao pela DGTI; V. responder por todo e qualquer acesso aos recursos de TI da UFLA, bem como pelos efeitos desses acessos efetivados atravs do seu cdigo de identificao ou outro atributo empregado para esse fim; VI. abster-se de utilizar, inspecionar, copiar ou armazenar programas de computador ou qualquer outro material, em violao legislao de propriedade intelectual pertinente; VII. comunicar ao seu superior imediato qualquer irregularidade ou desvio. Art. 11. Entendem-se como responsabilidades das Chefias as I. funcionrios; II. apropriadas; III. proteger, em nvel fsico e lgico, os ativos de informao e de processamento da UFLA relacionados com sua rea de atuao; IV. garantir que o pessoal sob sua superviso compreenda e colabore para com a proteo dos ativos de informao da UFLA; V. solicitar DGTI a concesso de acesso privilegiado a usurios sob sua superviso que podem acessar as informaes da unidade administrativa sob sua responsabilidade. Pargrafo nico. Cada rea que detm os ativos de processamento e de informao ser responsvel por esses ativos, provendo a sua proteo de acordo com as normas e procedimentos previstos na PSIC/UFLA. Art. 12. Entendem-se como responsabilidades da Gerncia de Segurana da Informao e Comunicaes da DGTI: I. UFLA; estabelecer as regras de proteo dos ativos de informao da identificar os desvios praticados e adotar as medidas corretivas gerenciar o cumprimento da PSIC/UFLA, por parte de seus

seguintes atividades:

II. decidir quanto s medidas a serem adotadas em caso de violao das regras estabelecidas, de acordo com as Normas e Procedimentos de Segurana da Informao da DGTI; III. revisar periodicamente as polticas, normas e procedimentos de segurana da informao da UFLA; IV. elaborar e manter atualizado o Plano de Continuidade de Negcio da UFLA; V. executar as regras de proteo estabelecidas por esta Poltica de Segurana; VI. detectar, identificar, registrar e comunicar DGTI ou ao rgo responsvel as violaes ou tentativas de acesso no autorizadas; VII. fornecer acesso aos recursos de TI, mantendo-se o devido registro e controle. Art. 13. Entendem-se como responsabilidades dos prestadores de servio toda e qualquer ao prevista em contrato ou clusulas que contemplem a responsabilidade dos prestadores de servio no cumprimento da PSIC/UFLA e suas normas e procedimentos. CAPTULO V DAS SANES E PENALIDADES Art. 14. A quem descumprir as normas e procedimentos previstos nesta Resoluo, sero aplicadas as sanes e penalidades previstas na legislao em vigor, em especial no Cdigo de tica do Servidor Pblico Civil do Poder Executivo Federal, aprovado pelo Decreto n 1.117/2004 e na Lei n 8.112/1990, que instituiu o Regime Jurdico dos Servidores Pblicos Civis da Unio, das autarquias, inclusive as em regime especial, e das fundaes pblicas federais. CAPTULO VI DA AUDITORIA E FISCALIZAO Art. 15. As atividades da UFLA esto associadas ao conceito de confiana e como tal, representam instrumentos que facilitam a percepo e transmisso de confiana comunidade de usurios. Art. 16. Cabe Diviso de Segurana da Informao da DGTI responder as diligncias relativas segurana da informao, promovidas por meio de auditoria interna ou externa, bem como responder aos questionrios enviados anualmente pelo Tribunal de Contas da Unio e Controladoria Geral da Unio. CAPTULO VII DO GERENCIAMENTO DE RISCOS Art. 17. As normas e procedimentos para implantao e gerenciamento de riscos de TI sero definidos em documento especfico elaborado pela DGTI.

CAPTULO VIII DO PLANO DE CONTINUIDADE DE NEGCIO Art. 18. O Plano de Continuidade de Negcio tem como objetivo manter em funcionamento os servios e processos crticos da UFLA, na eventualidade da ocorrncia de desastres, atentados, falhas e intempries. Art. 19. O Plano de Continuidade de Negcio da UFLA ser definido pela DGTI com base na anlise de riscos. CAPTULO IX DAS DISPOSIES FINAIS Art. 20. A Poltica de Segurana da UFLA se aplica a todos os seus recursos humanos, administrativos e tecnolgicos e a abrangncia dos recursos refere-se queles ligados a ela em carter permanente e temporrio. Art. 21. Esta Resoluo dever ser amplamente publicada, divulgada e comunicada, garantindo que todos tenham conscincia da mesma, para usufrurem dos benefcios e assumirem as responsabilidades inerentes aos sistemas de informao da UFLA. Art. 22. Os processos de aquisio de bens e servios relacionados Tecnologia da Informao pela UFLA devero estar em conformidade com esta Resoluo. Art. 23. Os casos omissos nessa Resoluo sero resolvidos pelo Comit de Segurana da Informao e Comunicaes da UFLA. Art. 24. A presente Resoluo ser revisada anualmente pelo Comit de Segurana da Informao e Comunicaes e submetida aprovao do Conselho Universitrio. Art. 25. Esta Resoluo entra em vigor na data de sua aprovao pelo Conselho Universitrio, revogando-se as disposies em contrrio.

ANTNIO NAZARENO GUIMARES MENDES Presidente