PORTARIA SRF N 450 DE 28 DE ABRIL DE 2004 Dispe sobre a Poltica de Segurana da Informao no mbito da Secretaria da Receita Federal. O S !

R "#RIO D$ R ! I"$ F D R$%& no uso da atribuio 'ue l(e confere o inciso III do art. )*+ do Regimento Interno da Secretaria da Receita Federal& apro,ado pela Portaria -F n. )/+& de )0 de agosto de )**1& e tendo em ,ista o disposto no Decreto n. 2./*/& de 12 de 3un(o de )***& resol,e4 DAS DISPOSIES PRELIMINARES Art. 1 $ Poltica de Segurana da Informao& no mbito da Secretaria da Receita Federal 5SRF6& tem como pressuposto a garantia da confidencialidade& integridade e disponibilidade dos ati,os de informao. Art. 2 Para efeito desta Portaria& entende7se por4 I 7 ati,os de informao& o patrim8nio composto por todos os dados e informaes gerados e manipulados nos processos da SRF& bem assim todos os elementos de infra7 estrutura& tecnologia& (ard9are e soft9are necess:rios ; e<ecuo dos processos da organi=ao> II 7 ambiente informati=ado& o con3unto de recursos 'ue utili=a ou disponibili=a ser,ios de processamento de dados e sistemas de informao de uso na SRF> III 7 confidencialidade& o princpio de segurana 'ue trata da garantia de 'ue o acesso ; informao se3a obtido somente por pessoas autori=adas> I? 7 integridade& o princpio de segurana 'ue trata da sal,aguarda da e<atido e confiabilidade da informao e dos m@todos de processamento> ? 7 disponibilidade& o princpio de segurana 'ue trata da garantia de 'ue pessoas autori=adas obten(am acesso ; informao e aos recursos correspondentes& sempre 'ue necess:rio> ?I 7 an:lise de risco e ,ulnerabilidades& a a,aliao das ameaas& impactos e ,ulnerabilidades dos ati,os de informao e da probabilidade de sua ocorrAncia> ?II 7 controle de acesso& o con3unto de recursos 'ue efeti,am as autori=aes e as restries de acesso aos ati,os de informao> e ?III 7 soft9are (omologado& o soft9are desen,ol,ido& ad'uirido ou alterado pela SRF& ou a pedido desta& e submetido a procedimentos de ,erificao 'uanto ; aderAncia ;s especificaes e ;s normas ,igentes na SRF; Art. 3 Os ati,os de informao e o ambiente informati=ado da SRF de,em estar em conformidade com as normas de segurana institudas por esta Portaria e demais normas relati,as ; segurana da informao. Art. 4 Os ati,os de informao da SRF de,em ser protegidos contra aes intencionais ou acidentais 'ue impli'uem perda& destruio& insero& cBpia& e<trao& alterao& uso e e<posio inde,idos& em conformidade com os princpios da confidencialidade& integridade e disponibilidade. Art. 5 $s informaes da SRF de,em ser classificadas em funo de sua importncia e confidencialidade. Art. 6 $s medidas de segurana de,em ser adotadas de forma proporcional aos riscos e<istentes e ; magnitude dos danos potenciais& considerados o ambiente& o ,alor e a criticidade da informao. Par:grafo Cnico. Os dados e informaes de,em ser mantidos com o mesmo n,el de proteo& independente do meio no 'ual este3am arma=enados& em 'ue trafeguem ou do ambiente em 'ue este3am sendo processados. Art. 7 O acesso aos ati,os de informao e ao ambiente informati=ado da SRF de,e ser sempre moti,ado por necessidade de ser,io& de,endo ser controlado e restrito ;s pessoas autori=adas. D 1. $s permisses de acesso so de uso e<clusi,o e intransfer,el& no podendo a pessoa autori=ada dei<ar 'ual'uer ati,o de informao em condies de ser utili=ado com suas permisses de acesso por terceiros.

D ). $s permisses de acesso de,em ser graduadas de acordo com as atribuies dos ser,idores. D 2. O acesso ao ati,o de informao no gera direito real sobre o mesmo e nem sobre os frutos de sua utili=ao. Art. 8 Os ser,idores da SRF de,em ser permanentemente treinados e capacitados a e<ercerem as ati,idades inerentes ; :rea de segurana da informao& bem assim sobre as formas de proteo dos ati,os de informao sob sua responsabilidade& de acordo com programa de capacitao e desen,ol,imento estabelecido pela !oordenao7Eeral de "ecnologia e Segurana da Informao 5!otec6. DA SE !RANA NO AMBIENTE INFORMATI"ADO Art. # O ambiente informati=ado da SRF& com a finalidade de garantir os princpios de confidencialidade& integridade e disponibilidade& de,e possuir4 I 7 modelo de gesto& de,idamente apro,ado pela !otec> II 7 plano de contingAncia 'ue assegure a operao e a recuperao de ati,os de informao em situaes de emergAncia& de acordo com as necessidades e pra=os especficos> III 7 recursos de autenticao 'ue garantam a identificao indi,idual e ine'u,oca do usu:rio& 'uando do acesso aos ati,os de informao> I? 7 recursos de criptografia> ? 7 mecanismos de proteo da rede da SRF& inclusi,e em suas interfaces com outras redes e com a Internet> ?I 7 monitorao& em tempo real& com ,istas a pro,er mecanismos de pre,eno& deteco& identificao e combate ; in,aso 5intruso6> ?II 7 mecanismos de pre,eno& deteco e eliminao de ,rus de computador e outros programas maliciosos> ?III 7 sistem:tica de gerao de cBpias de segurana 5bacFup6 e de recuperao de informaes 5restore6 de,idamente documentada& abrangendo periodicidade de cBpias& forma e local de arma=enamento& autori=ao de uso& pra=o de reteno e plano de simulao e testes> IG 7 medidas para ,erificao dos dados 'uanto a sua preciso e consistAncia> G 7 registro de informaes 5log6 com pra=os de reteno e formas de acesso definidas& com ,istas a permitir a recuperao do sistema em caso de fal(a> GI 7 registro de informaes 5tril(a de auditoria6 com pra=os de reteno e formas de acesso definidas& com ,istas a permitir auditoria& identificao de situaes de ,iolao e contabili=ao indi,idual do uso dos sistemas> GII 7 parmetros de normalidade de utili=ao definidos> e GIII 7 controle de acesso fsico ;s instalaes e e'uipamentos. Art. 10. Os ambientes de produo& treinamento& prospeco& testes& (omologao e desen,ol,imento dos sistemas informati=ados& locali=ados nas unidades da SRF ou em seus prestadores de ser,ios& de,em ser distintos e de e<clusi,idade da SRF& obser,adas as regras definidas pela !otec. Art. 11. O desen,ol,imento de soft9are& em todas as fases do processo& a prospeco de produtos e ser,ios e os procedimentos de (omologao de,ero contar com a participao de ser,idores em e<erccio na :rea de segurana da informao. Art. 12. Ho ambiente informati=ado da SRF& de,em ser utili=ados e instalados somente soft9ares (omologados pela !otec. Par:grafo Cnico. O disposto no caput no se aplica aos ambientes de prospeco& testes e (omologao. Art 13. Os soft9ares instalados nos e'uipamentos ser,idores& nos e'uipamentos de rede e

comunicao e nas estaes de trabal(o de,em ser permanentemente atuali=ados& ,isando incrementar aspectos de segurana e corrigir fal(as. Art. 14. Os ati,os de informao de,em ser in,entariados periodicamente por ser,idores em e<erccio na :rea de tecnologia da informao& em relao aos aspectos atinentes a (ard9are& soft9are e configuraes. Art. 15. $ eliminao de informao protegida por sigilo fiscal ou de uso e<clusi,o da SRF e de soft9ares instalados& constantes em dispositi,os de arma=enamento& de,e ser procedida mediante a utili=ao de ferramentas ade'uadas ; eliminao segura dos dados& 'uando4 I 7 destinados& no mbito da SRF& a outro ser,idor> II 7 (ou,er alterao das ati,idades desempen(adas pelo ser,idor e o conteCdo arma=enado for prescind,el ;s no,as ati,idades> III 7 destinados a pessoas ou organi=aes no autori=adas> e I? 7 o dispositi,o de arma=enamento esti,er danificado. Par:grafo Cnico. Ha (ipBtese pre,ista no inciso I? do caput& o dispositi,o de arma=enamento de,er: ser destrudo se as informaes nele contidas no puderem ser eliminadas. Art. 16. De,em ser adotadas medidas adicionais de proteo& ,isando garantir o mesmo n,el de segurana das instalaes internas da SRF& no caso de4 I 7 computao mB,el> II 7 acesso remoto ao ambiente informati=ado da SRF> III 7 operao de redes instaladas em recintos diferentes das unidades da SRF> I? 7 e'uipamentos destinados ao acesso pCblico> e ? 7 comunicao sem fio. Art. 17. O tr:fego de informaes em redes locais e de longa distncia de,e ser protegido contra danos& perdas& indisponibilidades& uso ou e<posio inde,idos& de acordo com seu ,alor& criticidade e confidencialidade. D 1. O tr:fego de dados de,e ser efetuado por meio de canais pri,ati,os& se3am eles fsicos ou ,irtuais& 'ue pro,e3am criptografia e autenticao. D ). $s redes de,em possuir rotas alternati,as e contar com mecanismos de redundncia. Art. 18. I ,edada a alterao dos mecanismos e configuraes definidos pela !otec& incluindo4 I 7 infra7estrutura el@trica> II 7 infra7estrutura lBgica> III 7 e'uipamentos de rede e de conecti,idade> I? 7 e'uipamentos ser,idores> ? 7 estaes de trabal(o fi<as> ?I 7 estaes de trabal(o mB,eis> ?II 7 sistemas operacionais> ?III 7 soft9ares em geral> e IG 7 dispositi,os de comunicao sem fio. Art. 1#. $ !otec editar: e manter: atuali=ado -anual de Procedimentos de Segurana& 'ue ser,ir: de referAncia para certificao de conformidade dos ambientes gerenciados pela SRF e pelos prestadores de ser,ios& de,endo abranger& dentre outros& os seguintes aspectos4 I 7 segurana fsica das instalaes onde se encontram os recursos do ambiente> II 7 configurao dos e'uipamentos ser,idores& de rede e de comunicaes& bem assim

das estaes de trabal(o> III 7 atuali=ao dos soft9ares em uso na SRF> I? 7 pre,eno& deteco e eliminao de ,rus de computador> ? 7 cBpia de segurana 5bacFup6 e recuperao> ?I 7 uso& arma=enamento e destruio de informaes> e ?II 7 transmisso e compactao de dados. DAS RESPONSABILIDADES INSTIT!$IONAIS E F!N$IONAIS Art. 20. I responsabilidade de todos os ser,idores cuidar da integridade& confidencialidade e disponibilidade dos ati,os de informao da SRF. Par:grafo Cnico. O ser,idor de,e comunicar por escrito 'uais'uer irregularidades& fal(as ou des,ios identificados ; c(efia imediata e ; :rea respons:,el pela segurana da informao da sua unidade da SRF. Art. 21. I proibida a e<plorao de fal(as ou ,ulnerabilidades por,entura e<istentes nos ati,os de informao da SRF. Par:grafo Cnico. $ !otec poder: autori=ar testes controlados para identificar a e<istAncia de fal(as ou ,ulnerabilidades nos ati,os de informao da SRF. Art. 22. !abe ; !otec4 I 7 gerenciar o processo de implantao e aplicao das normas constantes nesta Portaria> II 7 definir os agentes inter,enientes& bem assim as respecti,as atribuies& necess:rios para garantir o fiel cumprimento desta Portaria> III 7 regulamentar o acesso aos ati,os de informao da SRF> I? 7 reali=ar& periodicamente& auditoria de segurana e an:lise de risco e ,ulnerabilidades nos ambientes operacionais e nos sistemas de informao locali=ados nos prestadores de ser,ios e nas prBprias instalaes nas unidades da SRF> e ? 7 dirimir e,entuais dC,idas relati,as aos procedimentos regulamentados> e ?I 7 e<pedir normas complementares. Art. 23. O descumprimento das disposies constantes nesta Portaria e demais normas sobre segurana da informao caracteri=a infrao funcional& a ser apurada em processo administrati,o disciplinar& sem pre3u=o das responsabilidades penal e ci,il. DAS DISPOSIES FINAIS Art. 24. Os contratos de prestao de ser,ios e con,Anios celebrados pela SRF de,em contemplar& 'uando aplic:,eis& as normas de segurana institudas por esta Portaria e demais normas relati,as ; segurana da informao. Art. 25. $ !otec editar:& no pra=o de trinta dias contados desta data& normas complementares ao disposto nesta Portaria. Art. 26. sta Portaria entra em ,igor em 1. de 3un(o de )**0. Art. 27. Fica formalmente re,ogada& a partir de 1. de 3un(o de )**0& sem interrupo de sua fora normati,a& a Portaria SRF n. JK)& de )* de 3un(o de 1++J. LORE $H"OHIO D M R R$!MID