Você está na página 1de 10

Ministrio da Educao

Secretaria de Educao Profissional e Tecnolgica


Instituto Federal de Educao, Cincia e Tecnologia Goiano
POLTICA DE SEGURANA DA INFORMAO E COMUNICAO DO INSTITUTO
FEDERAL DE EDUCAO, CINCIA E TECNOLOGIA GOIANO
Dispe sobre a Poltica de Segurana da Informao e Comunicao do IF Goiano.
CAPITULO I
DA FINALIDADE
Art. 1 - A Poltica de Segurana da Informao e Comunicao do Instituto Federal de Educao,
Cincia e Tecnologia Goiano (IF Goiano) uma declarao formal da Instituio acerca de seu
compromisso com a proteo das informaes de sua propriedade e/ou sob sua guarda, devendo ser
cumprida por todos os servidores, colaboradores, consultores externos, estagirios e prestadores de
servio que exeram atividades no mbito do IF Goiano, ou quem quer que tenha acesso a dados ou
informaes no ambiente do IF Goiano. Tem como propsito estabelecer diretrizes, normas, procedimentos e responsabilidades adequadas para o manuseio, tratamento, controle e proteo das informaes pertinentes ao IF Goiano.
CAPITULO II
DAS FUNDAMENTAES LEGAIS E NORMATIVAS
Art. 2 - As referncias legais e normativas utilizadas para a elaborao da Poltica de Segurana
da Informao e Comunicao do IF Goiano so as seguintes:
I Constituio Federal de 1988;
II Lei n 9.983, de 14 de julho de 2000, que altera o Decreto Lei n 2848/40 (Cdigo Penal Brasileiro), de modo a prever a tipificao de crimes por computador contra a Previdncia Social e a Ad ministrao Pblica;
III Decreto n 1.171, de 24 de junho de 1994, que dispe sobre o Cdigo de tica Profissional do
Servidor Pblico Civil do Poder Executivo Federal;
IV Lei n 3.689, de 3 de outubro de 1941, atualizado at as alteraes introduzidas pela Lei n
11.900, de 8 de janeiro de 2009;
V Lei n 5.869, de 11 de janeiro de 1973;
VI Lei n 7.232, de 29 de outubro de 1984, que dispe sobre a Poltica Nacional de Informtica;

VII Lei n 8.027, de 12 de abril de 1990, que dispe sobre as normas de conduta a serem observadas pelos servidores pblicos civis da Unio, das Autarquias e das Fundaes Pblicas;
VIII Lei n 8.112, de 11 de dezembro de 1990, que trata do regime jurdico dos servidores pblicos civis da Unio, das autarquias e das fundaes pblicas federais;
IX Lei n 8.429, de 2 de junho de 1992, que dispe sobre as sanes aplicveis aos agentes pblicos nos casos de enriquecimento ilcito no exerccio de mandato, cargo, emprego ou funo na administrao pblica direta, indireta ou fundacional;
X Decreto n 6.029, de 1 de fevereiro de 2007, que trata do Sistema de Gesto da tica do Poder
Executivo Federal;
XI Lei n 8.159, de 8 de janeiro de 1991, que dispe sobre a poltica nacional de arquivos pblicos
e privados;
XII Decreto n 1.048, de 21 de janeiro de 1994, que trata do Sistema de Administrao dos Recursos de Informao e Informtica da Administrao Pblica Federal;
XIII Decreto n 3.505, de 13 de junho de 2000, que institui a Poltica de Segurana da Informao
nos rgos e entidades da Administrao Pblica Federal;
XIV Decreto n 4.553, de 27 de dezembro de 2002, que dispe sobre a salvaguarda de dados, informaes, documentos e materiais sigilosos de interesse da segurana da sociedade e do Estado no
mbito da Administrao Pblica Federal; e
XV Outros dispositivos infralegais aplicveis, a saber:
a) Instruo Normativa GSI/PR n 01 de 13 de junho de 2008;
b) Norma Complementar n 02/IN01/DSIC/GSI/PR, de 14 de outubro de 2008;
c) Norma Complementar n 03/IN01/DSIC/GSI/PR, de 3 de julho de 2009;
d) Norma Complementar n 04/IN01/DSIC/GSI/PR, de 17 de agosto de 2009;
e) Norma Complementar n 05/IN01/DSIC/GSI/PR, de 17 de agosto de 2009;
f) Norma Complementar n 06/IN01/DSIC/GSI/PR, de 23 de novembro de 2009;
g) Acrdo n 1603/2008 Plenrio do Tribunal de Contas da Unio (TCU);
h) Resoluo IF Goiano n 022/2010, de 23 de novembro de 2010;
i) Norma ABNT NBR ISO n 17799:2005: Cdigo de Prticas para a Gesto da Segurana da Informao;
j) Norma ABNT NBR ISO Guia n 73:2002: Gesto de Riscos / Vocabulrio;
k) Norma ABNT NBR ISO/IEC n 27001:2005: Tecnologia da Informao Tcnicas de Segurana
Sistemas de Gerncia da Segurana da Informao Requisitos;

l) Norma ABNT NBR ISO/IEC n 27002:2005: Cdigo de Prtica para a Gesto de Segurana da
Informao;
m) Norma ISO/IEC TR n 13335-3:1998, que fornece tcnicas para a gesto de segurana na rea
de tecnologia da informao, baseada nas normas ISO/IEC n 13335-1 e TR ISO/IEC
n 13335-2; e
n) Norma ISO/IEC GUIDE n 51:1999, que fornece aos elaboradores de normas recomendaes
para a incluso dos aspectos de segurana nestes documentos.
CAPITULO III
DA DECLARAO DE COMPROMETIMENTO DA REITORIA
Art. 3 - A alta direo do IF Goiano, na figura do Reitor, declara-se comprometida em proteger todos os seus ativos de informao.
CAPITULO IV
DAS INSTNCIAS ADMINISTRATIVAS
Art. 4 - Para os efeitos desta Poltica e das normas originadas a partir dela, so consideradas as seguintes instncias administrativas:
I Comit Gestor de Tecnologia da Informao (CGTI): instncia autnoma que atende ao disposto
no art. 4, IV da Instruo Normativa n 04/SLTI/MPOG, de 19 de maio de 2008, e na Instruo
Normativa n 4, de 12 de novembro de 2010. Possui natureza consultiva e propositiva e responsvel pela regulao das aes de Tecnologia da Informao (TI) e seu alinhamento ao disposto no
Plano de Desenvolvimento Institucional (PDI) e no Plano Estratgico Institucional (PEI);
II Diretoria de Tecnologia da Informao (DTI): instncia administrativa/executiva responsvel
por propor as polticas e programas do IF Goiano na rea de TI, bem como por sua implementao e
gesto. Tem por objetivo planejar, desenvolver, implantar e coordenar os Recursos de Tecnologia da
Informao (RTI);
III Coordenao Geral de Desenvolvimento de Sistemas, Coordenao Geral de Infraestrutura e
Redes, Coordenao de Apoio ao Usurio: instncias responsveis pelo desenvolvimento, implantao e manuteno dos RTI no mbito do IF Goiano;
IV Gerncia de Tecnologia da Informao no campus: instncia responsvel direta ou indiretamente, no mbito de cada campus do IF Goiano, pela gesto dos RTI, bem como pela aplicao das
polticas e diretrizes associadas a estes recursos; e
V Unidade: qualquer instncia administrativa do IF Goiano, a exemplo dos campi, unidades ligadas aos campi, ncleos de pesquisa e centros com funcionalidades especficas.
CAPITULO V
DOS TERMOS E DEFINIES
Art. 5 - Para os efeitos desta Poltica, so adotadas as seguintes definies:

I Ativo de informao: qualquer informao que tenha valor para a Instituio, nos termos da Norma ISO/IEC n 13335-1:2004;
II Recursos de processamento da informao: qualquer sistema, servio ou infraestrutura de processamento da informao, ou as instalaes fsicas que os abriguem;
III Segurana da informao: preservao da confidencialidade, da integridade e da disponibilidade da informao. Adicionalmente, outras propriedades como autenticidade, responsabilidade, no
repdio e confiabilidade podem tambm estar envolvidas;
IV Controle: forma de gerenciar o risco, incluindo polticas, procedimentos, diretrizes, prticas ou
estruturas organizacionais, que podem ser de natureza administrativa, tcnica, de gesto ou legal.
Controle tambm usado como sinnimo para proteo ou contra-medida;
V Evento de segurana da informao: ocorrncia identificada de um sistema, servio ou rede
que indica uma possvel violao da poltica de segurana da informao ou falha de controles, ou
uma situao previamente desconhecida que possa ser relevante para a segurana da informao,
nos termos da Norma ISO/IEC TR n 18044:2004;
VI Incidente de segurana da informao: ocorrncia indicada por um nico ou por uma srie de
eventos de segurana da informao indesejados ou inesperados, que apresentem grande probabilidade de comprometer as operaes de negcio e ameaar a segurana da informao, nos termos da
Norma ISO/IEC TR n 18044:2004;
VII Risco: combinao da probabilidade de ocorrncia de um evento e de suas consequncias;
VIII Ameaa: causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou para a Instituio, nos termos da Norma ISO/IEC n 13335-1:2004;
IX Vulnerabilidade: fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma
ou mais ameaas;
X Contingncia: indisponibilidade ou perda de integridade da informao que os controles de segurana no tenham conseguido evitar;
XI Plano de continuidade de negcios: conjunto de procedimentos a serem adotados quando a
Instituio se deparar com problemas que comprometam o andamento normal dos processos e a
consequente prestao dos servios;
XII Princpios da Segurana da Informao e Comunicaes: princpios que regem a Segurana
da Informao e Comunicaes, nos termos do art. 3 do Decreto n 3.505, de 13 de junho de 2000,
ou seja, a confidencialidade, a integridade, a disponibilidade, a autenticidade e o no-repdio;
XIII Termo de responsabilidade: acordo de confidencialidade e no divulgao de informaes,
que atribui responsabilidades ao servidor e ao administrador de servio quanto ao sigilo e correta
utilizao dos ativos de propriedade da Instituio ou por ela custodiados;
XIV Quebra de segurana: ao ou omisso, intencional ou acidental, que resulte no comprometimento da Segurana da Informao e Comunicaes;
XV Tratamento da informao: recepo, produo, reproduo, utilizao, acesso, transporte,

transmisso, distribuio, armazenamento, eliminao e controle da informao, inclusive das sigilosas;


XVI Continuidade de negcios: capacidade estratgica e ttica de um rgo ou entidade de se planejar e responder a incidentes e interrupes de negcios, minimizando seus impactos e recuperando perdas de ativos da informao das atividades crticas, de forma a manter suas operaes em um
nvel aceitvel e previamente definido;
XVII Plano de gerenciamento de incidentes: plano de ao claramente definido e documentado,
para ser utilizado quando ocorrer um incidente e que especifique as pessoas, recursos, servios e outras aes que forem necessrias para implementar o processo de gerenciamento de incidentes;
XVIII Plano de Continuidade: plano constitudo de um conjunto de medidas, regras e procedimentos definidos, a serem adotados para assegurar que, aps falha ou interrupo na operao normal dos sistemas direta ou indiretamente envolvidos com a gesto das informaes, as funes ou
atividades crticas da Instituio possam ser mantidas ou recuperadas;
XIX Gesto da continuidade de negcios: processo contnuo de gesto e governana, suportado
pela alta direo, com recursos apropriados para garantir que as aes necessrias sejam executadas
de forma a identificar o impacto de perdas em potencial, manter estratgias e planos de recuperao
viveis e garantir a continuidade de fornecimento dos servios;
XX Anlise de riscos: uso sistemtico de informaes para identificar fontes e estimar seu risco;
XXI Avaliao de riscos: processo por intermdio do qual se compara o risco estimado com critrios de riscos predefinidos para determinar a importncia do risco;
XXII Gesto de Riscos de Segurana da Informao e Comunicao: conjunto de processos que
permitem identificar e implementar as medidas de proteo necessrias, especificamente, para mitigar os riscos a que esto sujeitos os ativos de informao e equilibr-los com os custos operacionais
e financeiros envolvidos;
XXIII Identificao de riscos: processo de localizao, enumerao e caracterizao dos elementos do risco;
XXIV Tratamento dos riscos: processo de implementao de aes de Segurana da Informao e
Comunicaes destinadas a evitar, reduzir, reter ou transferir um risco;
XXV Gestor: agente da Instituio responsvel pela definio de critrios de acesso, classificao,
tempo de vida e normas especficas de uso da informao;
XXVI Usurio interno: qualquer pessoa fsica ou unidade interna que faa uso de informaes e
que esteja vinculada administrativamente ao IF Goiano;
XXVII Usurio externo: qualquer pessoa fsica ou jurdica que faa uso de informaes e que no
esteja vinculada administrativamente ao IF Goiano;
XXVIII Comunicao oficial: trfego de documentos, informaes ou formulrios emitidos por
caixas postais eletrnicas do IF Goiano, de atividades especiais ou ainda de projetos especficos; e
XXIX Comunicao informal: trfego de documentos, informaes ou formulrios que no estejam includos no conceito de que trata o inciso anterior, emitidos via caixas postais eletrnicas indi-

viduais de autoridade, servidor, estagirio ou fornecedor de bens e/ou servios.


CAPITULO VI
DOS PRINCPIOS
Art. 6 - Esta Poltica abrange onze aspectos bsicos da Segurana da Informao e Comunicaes,
destacados a seguir:
I Confidencialidade: somente pessoas devidamente autorizadas pelo gestor da informao devem
ter acesso a informao no pblica;
II Integridade: somente operaes de alterao, supresso e adio autorizadas pelo IF Goiano devem ser realizadas nas informaes;
III Disponibilidade: a informao deve estar disponvel para as pessoas autorizadas sempre que
necessrio ou solicitado;
IV Autenticidade: princpio de segurana que assegura ser do autor a responsabilidade pela criao ou divulgao de uma dada informao;
V Criticidade: princpio de segurana que define a importncia da informao para a continuidade
da atividade-fim da Instituio;
VI No-Repdio: garantia de que o emissor da mensagem no ir negar posteriormente a autoria
da mensagem ou transao, permitindo sua identificao;
VII Responsabilidade: as responsabilidades iniciais e finais pela proteo de cada ativo e pelo
cumprimento de processos de segurana devem ser claramente definidas. Todos os servidores do IF
Goiano so responsveis pelo tratamento da informao e pelo cumprimento das Normas de Segurana da Informao advindas desta Poltica;
VIII Cincia: todos os servidores, colaboradores, consultores externos, estagirios e prestadores
de servio devem ter cincia das normas, procedimentos, orientaes e outras informaes que permitam a execuo de suas atribuies sem comprometer a segurana;
IX tica: todos os direitos e interesses legtimos de servidores, colaboradores, estagirios, prestadores de servio e usurios do sistema de Informao do IF Goiano devem ser respeitados;
X Legalidade: alm de observar os interesses do IF Goiano, as aes de Segurana da Informao
e Comunicaes levaro em considerao leis, normas, polticas organizacionais, administrativas,
tcnicas e operacionais, padres, procedimentos aplicveis e contratos com terceiros, dando ateno
propriedade da informao e aos direitos de uso; e
XI Proporcionalidade: o nvel, a complexidade e os custos das aes de Segurana da Informao
e Comunicaes no mbito do IF Goiano sero adequados ao entendimento administrativo e ao valor do ativo a proteger.
CAPITULO VII
DO ESCOPO

Art. 7 - O escopo do Plano de Segurana da Informao do IF Goiano refere-se:


I aos aspectos estratgicos, estruturais e organizacionais, preparando a base para elaborao dos
demais documentos normativos que os incorporaro;
II aos requisitos de segurana humana;
III aos requisitos de segurana fsica;
IV aos requisitos de segurana lgica; e
V sustentao dos procedimentos, dos processos de trabalho e dos ativos que influiro diretamente nos produtos e servios oriundos da informao e comunicao do IF Goiano.
CAPITULO VIII
DA ESTRUTURA NORMATIVA DA SEGURANA DA INFORMAO E
COMUNICAES
Art. 8 - A estrutura normativa da Segurana da Informao e Comunicao do IF Goiano composta por um conjunto de documentos com trs nveis hierrquicos distintos, relacionados a seguir:
I Poltica de Segurana da Informao (PSI): constituda por este documento, define a estrutura,
as diretrizes e as obrigaes referentes Segurana da Informao, e ser detalhada em um conjunto
de Normas especficas;
II Normas de Segurana da Informao (Normas): estabelecem obrigaes e procedimentos definidos de acordo com as diretrizes da Poltica, a serem observados em diversas instncias em que a
informao seja tratada. A cada Norma ser associado um conjunto de Procedimentos destinados a
orientar sua implementao. A elaborao das Normas seguir as orientaes contidas no documento Atividade de Normatizao do Departamento de Segurana da Informao e Comunicaes do
Gabinete de Segurana Institucional da Presidncia da Repblica; e
III Procedimentos de Segurana da Informao e Comunicaes (Procedimentos): instrumentalizam o disposto nas Normas, permitindo sua direta aplicao nas atividades do IF Goiano, cabendo a
cada gestor a responsabilidade de ger-los. Cada procedimento poder ainda ser detalhado em instrues. Estes procedimentos e instrues sero de uso interno, no sendo obrigatria sua publicao.
CAPITULO IX
DAS DIRETRIZES GERAIS
Art. 9 - dever de todos zelar pela Segurana da Informao e Comunicaes.
Art. 10 - O IF Goiano, na condio de usurio dos servios providos pela Rede Nacional de Pesquisa (RNP) , por princpio, signatrio de suas Polticas e Normas de Segurana.
Art. 11 - Usurios internos e externos devem observar as seguintes diretrizes:
I Acesso informao: ser regulamentado por normas especficas de tratamento da informao.
Toda e qualquer informao gerada, adquirida, utilizada ou armazenada pelo IF Goiano considera-

da seu patrimnio e deve ser protegida;


II Recursos disponibilizados pelo IF Goiano: na condio de recursos da propriedade do IF Goiano, sero fornecidos com o propsito nico de garantir o desempenho das suas atividades;
III Tratamento de informaes: as normas para as operaes de armazenamento, divulgao, reproduo, transporte, recuperao e destruio da informao sero definidas de acordo com a classificao desta, sem prejuzo de outros cuidados que vierem a ser especificados pelo gestor;
IV Gesto de incidentes: ser estabelecido um servio que consiste em receber, filtrar, classificar e
responder s solicitaes e alertas e realizar as anlises dos incidentes de segurana, procurando extrair informaes que permitam impedir a continuidade da ao maliciosa, bem como a identificao de tendncias;
V Gesto de Riscos: ser estabelecido um processo de Gesto de Riscos, contnuo e aplicado na
implementao e operao da Gesto de Segurana da Informao e Comunicao, de modo a produzir subsdios para a Gesto de Continuidade dos Negcios. Os riscos devem ser monitorados e
analisados periodicamente, a fim de verificar mudanas nos critrios de avaliao e aceitao dos
riscos, no ambiente, nos ativos de informao e em fatores de risco como ameaa, vulnerabilidade,
probabilidade e impacto;
VI Auditoria e Conformidade: devero ser levantados regulamente os aspectos legais de segurana aos quais as atividades do IF Goiano esto submetidas, de forma a evitar aes penais decorrentes da no observncia de tais aspectos por desconhecimento ou omisso;
VII Segurana Fsica: controles que monitorem o acesso fsico a equipamentos, documentos, suprimentos e locais fsicos do IF Goiano e que garantam a proteo dos recursos, de forma que apenas as pessoas autorizadas tenham acesso, de modo a restringir a entrada e sada de visitantes, pessoal interno, equipamentos e mdias e estabelecer permetros de segurana;
VIII Uso de e-mail: o servio de correio eletrnico disponibilizado pelo IF Goiano constitui recurso do Instituto disponibilizado na rede de comunicao de dados para aumentar a agilidade, segurana e economia da comunicao oficial e informal. O correio eletrnico constitui bem do IF Goiano e, portanto, passvel de auditoria;
IX Capacitao e Aperfeioamento: os servidores devero ser continuamente capacitados para o
desenvolvimento de competncias em Segurana da Informao e Comunicao;
X Acesso Internet: todos os servidores tm o direito de acesso internet, com utilizao exclusiva para fins diretos e complementares s atividades do setor, para o enriquecimento intelectual de
seus servidores ou como ferramenta para busca por informaes que venham a contribuir para o desenvolvimento de seus trabalhos. O acesso Internet pelo corpo discente da Instituio dever observar estritamente os objetivos acadmicos constantes dos programas de cursos;
XI Patrimnio Intelectual: as informaes, os sistemas e os mtodos criados pelos servidores do
IF Goiano, no exerccio de suas funes, so patrimnios intelectuais da Instituio, no cabendo a
seus criadores qualquer forma de direito autoral; e
XII Termo de Responsabilidade e Sigilo: o documento oficial que compromete colaboradores,
terceirizados e prestadores de servio com a PSI do IF Goiano.
CAPITULO X

DAS COMPETNCIAS E RESPONSABILIDADES


Art. 12 - A implementao, o controle e a gesto da PSI observaro a seguinte estrutura de gerenciamento:
I A autoridade mxima do IF Goiano o Conselho Superior, responsvel pela aprovao da PSI;
II Ao Comit Gestor de Segurana da Informao compete:
a) promover a cultura de Segurana da Informao;
b) acompanhar as investigaes e as avaliaes dos danos decorrentes de quebras de segurana;
c) propor recursos necessrios s aes de Segurana da Informao;
d) instituir e coordenar a Equipe de Tratamento e Respostas a Incidentes de Segurana da Informao;
e) realizar e acompanhar estudos de novas tecnologias, no que diz respeito a possveis impactos sobre a Segurana da Informao;
f) manter contato permanente e estreito com o Departamento de Segurana da Informao e Comunicao do Gabinete de Segurana Institucional da Presidncia da Repblica, para o trato de assuntos relativos Segurana da Informao e Comunicao;
g) coordenar as revises das normas de segurana em vigor; e
h) propor Normas adicionais e procedimentos relativos Segurana da Informao no mbito do IF
Goiano.
Art. 13 - Compete Diretoria de Tecnologia da Informao zelar pela segurana da informao no
mbito do IF Goiano quando as informaes estiverem sob custdia dos recursos de tecnologia da
informao.
Art. 14 - Compete aos Gestores de Tecnologia da Informao dos campi zelar pela segurana da
informao no mbito de cada campus quando as informaes estiverem sob custdia dos recursos
de tecnologia da informao.
CAPITULO XI
DA DIVULGAO E ACESSO ESTRUTURA NORMATIVA
Art. 15 - A Poltica e as Normas de Segurana da Informao e Comunicao devem ser divulgadas a todos os servidores do IF Goiano e dispostas de maneira que seu contedo possa ser consultado a qualquer momento.
Art. 16 - As reas atingidas por esta PSI so imediatamente responsveis pela elaborao e proposio de normas, procedimentos e atividades necessrias ao cumprimento.
Art. 17 - As reas devero submeter suas propostas de normas ao Comit de Segurana da Informao para anlise, discusso e aprovao.

Art. 18 - Aps aprovao, as normas e procedimentos sero divulgados aos interessados pela rea
responsvel por sua proposio e manuteno.
CAPITULO XII
DAS DISPOSIES FINAIS
Art. 19 - Esta PSI ser revista e alterada sempre que as atribuies e normas do IF Goiano justificarem tais alteraes, sendo ainda obrigatria sua reviso anual.
Art. 20 - O descumprimento ou a violao de um ou mais itens da Poltica ou das suas Normas,
procedimentos ou atividades pertinentes Segurana da Informao, sero tratados conforme a legislao e os regulamentos internos aplicveis.
Art. 21 - A presente poltica entra em vigor a partir da data de sua publicao.
Art. 22 Esta Poltica foi aprovada pela Resoluo N0 044/2011 de 25 de novembro de 2011.