3 1.

ESCOPO Este regulamento se aplicar a servidores, prestadores de servio, colaboradores, estagirios, e a quem, de alguma forma, utilizem informaes vinculadas a Secretaria de Estado do Desenvolvimento Urbano Sedurb, sendo que; 1.1. Toda informao deste rgo deve seguir suas prescries; 1.2. Objetiva garantir a disponibilidade, integridade, confidencialidade e autenticidade de todas as informaes deste rgo; 1.3. As diretrizes de Segurana da Informao e Comunicaes SIC levaram em considerao, prioritariamente, objetivos estratgicos, processos, requisitos legais e estrutura do rgo. 1.4. A Gesto de Segurana da Informao e Comunicaes deve apoiar e orientar a tomada de decises institucionais, alm de otimizar investimentos em segurana que visem eficincia, eficcia e efetividade das atividades do SIC. 1.5. Todos so responsveis pelo cumprimento deste PoSIC e devem estar comprometidos com a segurana da informao e das comunicaes. 1.6. Os contratos, convnios, acordos e outros instrumentos congneres celebrados devem atender a esta PoSIC. 2. CONCEITOS E DEFINIES 2.1. Ameaa: evento que tem potencial para comprometer os objetivos da organizao, seja trazendo danos diretos aos ativos ou prejuzos decorrentes de situaes inesperadas; 2.2. Ativos de informao: os meios de produo, armazenamento, transmisso e processamento de informaes, os sistemas de informao, alm das informaes em si, bem como os locais onde se encontram esses meios e as pessoas que a eles tm acesso;

4 2.3. Autenticidade: propriedade de que a informao foi produzida, expedida, modificada ou destruda por uma determinada pessoa fsica, ou por um determinado sistema, rgo ou entidade; 2.4. Capacitao em SIC: saber o que segurana da informao e comunicaes, aplicando em sua rotina pessoal e profissional, servindo como multiplicador do tema e aplicando os conceitos e procedimentos na organizao como gestor de SIC; 2.5. Classificao da informao: identificao de quais so os nveis de proteo que as informaes demandam e o estabelecimento de classes e formas de identific-las, alm de determinar os controles de proteo necessrios a cada uma delas; 2.6. Confidencialidade: propriedade de que a informao no esteja disponvel ou revelada pessoa fsica, sistema, rgo ou entidade no autorizado e credenciado; 2.7. Conscientizao em SIC: saber o que segurana da informao e comunicaes aplicando em sua rotina pessoal e profissional, alm de servir como multiplicador sobre o tema; 2.8. Controle de acesso: conjunto de procedimentos, recursos e meios utilizados com a finalidade de conceder ou bloquear o acesso; 2.9. Disponibilidade: propriedade de que a informao esteja acessvel e utilizvel, sob demanda, por uma pessoa fsica ou determinado sistema, rgo ou entidade no momento requerido; 2.10. Gesto de ativos: processo de identificao dos ativos e de definio de responsabilidades pela manuteno apropriada dos controles desses ativos; 2.11. Gesto de continuidade dos negcios: processo abrangente de gesto que identifica ameaas potenciais para uma organizao e os possveis impactos nas operaes de negcio caso essas ameaas se concretizem. Esse processo fornece uma estrutura para que se desenvolva uma resilincia organizacional que seja capaz de

5 responder efetivamente e salvaguardar os interesses das partes interessadas, a reputao e a marca da organizao e suas atividades de valor agregado; 2.12. Gerenciamento de operaes e comunicaes: atividades, processos,

procedimentos e recursos que visam disponibilizar e manter servios, sistemas e infraestrutura que os suportes, satisfazendo os acordos de nveis de servio; 2.13. Incidente de SIC: evento que tenha causado algum dano, colocado em risco algum ativo de informao crtico ou interrompido a execuo de alguma atividade crtica por um perodo de tempo inferior ao tempo objetivo de recuperao; 2.14. Informao: conjunto de dados, textos, imagens, mtodos, sistemas ou quaisquer formas de representao dotadas de significado em determinado contexto, independentemente do suporte em que resida ou da forma pela qual seja veiculado; 2.15. Infraestrutura de TI: instalaes prediais (energia, gua, climatizao, acesso fsico), computadores e equipamentos, software, redes e telecomunicaes, sistemas de armazenamento e recuperao de dados (arquivos e armazenamento), aplicaes computacionais, cabeamento e rede telefnica; 2.16. Integridade: propriedade de que a informao no foi modificada, suprimida ou destruda de maneira no autorizada ou acidental; 2.17. Quebra de segurana: ao ou omisso, intencional ou acidental, que resulta no comprometimento da segurana da informao e das comunicaes; 2.18. Risco de SIC: potencial associado explorao de uma ou mais vulnerabilidades de um ativo de informao ou de um conjunto de tais ativos, por parte de uma ou mais ameaas, com impacto negativo no negcio da organizao; 2.19. Segurana fsica e do ambiente: processo que trata da proteo de todos os ativos fsicos da instituio, englobando instalaes fsicas, internas e externas, em todas as localidades em que a organizao est presente;

6 2.20. Sensibilizao em SIC: saber o que segurana da informao e comunicaes aplicando em sua rotina pessoal e profissional; 2.21. Terceiros: quaisquer pessoas, fsicas ou jurdicas, de natureza pblica ou privada, externos a Sedurb; 2.22. Tratamento de incidentes: o processo que consiste em receber, filtrar, classificar e responder s solicitaes e alertas e realizar as anlises dos incidentes de segurana; 2.24. Tratamento da informao: conjunto de aes referentes recepo, produo, reproduo, utilizao, acesso, transporte, transmisso, distribuio, armazenamento, eliminao e controle da informao; e 2.25. Vulnerabilidade: fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaas.

3. PRINCPIOS 3.1. A POSIC deve orientar-se pelos seguintes princpios da Segurana da informao e Comunicao - SIC: confidencialidade, disponibilidade e integridade. 3.2. A POSIC deve obedecer aos princpios constitucionais, administrativos e do arcabouo legislativo que regem a Administrao Pblica Estadual, bem como com os demais dispositivos legais aplicveis.

7 4. DIRETRIZES GERAIS 4.1. A informao da Sedurb deve ser protegida de maneira a assegurar a sua confidencialidade, integridade, disponibilidade e seu controle. 4.2. O cumprimento desta poltica de segurana dever ser avaliado periodicamente por meio de verificaes de conformidade, buscando o cumprimento dos requisitos de segurana da informao. 4.3. Cabe Diretoria de Tecnologia, e demais unidades pertinentes, instituir programas permanentes e regulares de conscientizao, sensibilizao e capacitao em SIC. 4.4. A Sedurb, alm das diretrizes estabelecidas nesta PoSIC, deve tambm se orientar pelas melhores prticas e procedimentos de SIC recomendados por rgos e entidades responsveis pelo estabelecimento de padres. 5. DIRETRIZES ESPECFICAS 5.1. Gesto de Ativos da Informao 5.1.1. Os ativos de informao devem: a) ser inventariados e protegidos; b) ter identificados os seus proprietrios e custodiantes; c) ter mapeadas as suas ameaas, vulnerabilidades e interdependncias; d) ser passveis de monitoramento e ter seu uso investigado quando houver indcios de quebra de segurana, por meio de mecanismos que permitam a rastreabilidade do uso desses ativos; 5.1.2. A Sedurb deve criar, gerir e avaliar critrios de tratamento e classificao da informao de acordo com o sigilo requerido, relevncia, criticidade e sensibilidade.

8 5.1.3. Os recursos tecnolgicos e as instalaes de infraestrutura devem ser protegidos contra indisponibilidade, acessos indevidos, falhas, bem como perdas, danos, furtos, roubos e interrupes no programadas. 5.1.4. Os sistemas de informao e as aplicaes devem ser protegidos contra indisponibilidade, alteraes ou acessos indevidos, falhas e interrupes no programadas. 5.1.5. O acesso dos usurios aos ativos de informao e sua utilizao, quando autorizados, deve ser condicionado ao aceite do termo de sigilo e responsabilidade. 5.2. Gesto de Riscos 5.2.1. O gestor dos ativos de informao deve estabelecer processos que possibilitem identificar ameaas e reduzir vulnerabilidades e impactos dos ativos de informao. 5.2.2. Deve ser um processo contnuo e ser aplicado na implementao e operao da Gesto de Segurana da Informao e Comunicaes, levando em considerao o planejamento, execuo, anlise crtica e melhoria da SIC. 5.3. Segurana Fsica e do Ambiente 5.3.1. A Sedurb deve estabelecer mecanismos de proteo s instalaes fsicas e reas de processamento de informaes crticas ou sensveis contra acesso indevido, danos e interferncias. 5.4. Segurana em Recursos Humanos 5.4.1. Os usurios devem ter cincia: a) das ameaas e preocupaes relativas SIC; e b) de suas responsabilidades e obrigaes no mbito desta PoSIC. 5.4.2. Os usurios devem ser sensibilizados e conscientizados para apoiar esta PoSIC durante os seus trabalhos normais.

5.5. Gesto de Continuidade A Estrutura de Sedurb deve instituir metodologias ou normas que estabeleam a Gesto de Continuidade do Negcio. 5.6. Conformidade 5.6.1. Deve ser realizada, com periodicidade mnima anual, verificao de conformidade das prticas de SIC da Sedurb de suas unidades administrativas com esta PoSIC e suas normas e procedimentos complementares, bem como com a legislao especfica de SIC. 5.6.8. A verificao de conformidade poder combinar ampla variedade de tcnicas, tais como anlise de documentos, anlise de registros ( logs ), anlise de cdigo-fonte, entrevistas e testes de invaso. 6. PENALIDADES O no cumprimento das regras estabelecidas neste documento poder acarretar sanes administrativas e cveis. 7. COMPETNCIAS E RESPONSABILIDADES 7.1. Gestor da Informao a) promover cultura de segurana da informao e comunicaes; b) acompanhar as investigaes e as avaliaes dos danos decorrentes de quebras de segurana; 7.2. Gestor do Ativo de Informao: a) garantir a segurana dos ativos de informao sob sua responsabilidade; b) definir e gerir os requisitos de segurana para os ativos de informao sob sua responsabilidade, em conformidade com esta PoSIC; c) conceder e revogar acessos aos ativos de informao; e

10 d) designar responsvel dos ativos de informao e proteger as informaes, bem como controlar o acesso, conforme requisitos definidos pelo gestor da informao e em conformidade com esta PoSIC. 7.3. Cabe aos usurios: a) conhecer e cumprir todos os princpios, diretrizes e responsabilidades desta PoSIC, bem como os demais normativos e resolues relacionados SIC; b) obedecer aos requisitos de controle especificados pelos gestores e custodiantes da informao; e c) comunicar os incidentes que afetam a segurana dos ativos de informao e comunicaes a Diretoria de Tecnologia. 8. ATUALIZAO 8.1. Esta PoSIC, bem como os documentos gerados a partir dela, devero ser revisados anualmente.

9. REFERNCIAS BIBLIOGRFICAS UFES. Poltica de Segurana da Informao e Comunicaes. Disponvel em: <http://www.bc.ufes.br/sites/www.bc.ufes.br/files/posic_20111216%20final.pdf> Acesso em: 22 mai 2013. PONTES. Edilson. Polticas e normas para segurana da informao. Rio de Janeiro: Brasport, 2012. Gabinete de Segurana Institucional Departamento de Segurana da Informao e comunicao. Diretrizes Para Elaborao de Poltica De Segurana da Informao e Comunicaes nos rgos e Entidades da Administrao Pblica Federal. Disponvel em: < http://dsic.planalto.gov.br/documentos/nc_3_psic.pdf> Acesso em 22 mai 2013. .