Escolar Documentos
Profissional Documentos
Cultura Documentos
INMETRO
1/21
PoSIC 2015
Poltica de Segurana da Informao e Comunicaes
Instituto Nacional de Metrologia, Qualidade e Tecnologia
1. Apresentao do INMETRO
O Instituto Nacional de Metrologia, Qualidade e Tecnologia uma autarquia do governo federal
que atua em vrias frentes que envolvem proteo ao cidado nas relaes de consumo, estmulo
competitividade da empresa brasileira, qualidade, inovao e ampliao de conhecimento em
cincia e tecnologia e como regulamentador de produtos e servios com foco em segurana,
sade e meio ambiente.
2. Misso do INMETRO
Prover confiana sociedade brasileira nas medies e nos produtos, por meio da metrologia e da
avaliao da conformidade, promovendo a harmonizao das relaes de consumo, a inovao e a
competitividade do pas.
3. Viso de Futuro do INMETRO
rgo de Estado fundamental e estratgico ao desenvolvimento socioeconmico do Brasil, pela
relevncia e qualidade de seus servios, pelo apoio inovao, por sua excelncia tcnica,
cientfica e de gesto, com amplo reconhecimento nacional e internacional.
4. Plano Diretor de Tecnologia da Informao 2015-2016 e Poltica de Segurana da Informao e
Comunicaes (PoSIC)
O Plano Diretor de Tecnologia da Informao (PDTI) do INMETRO um instrumento base de
planejamento estratgico o INMETRO. Ele direciona a equipe de TI nas suas rotinas e projetos e
tambm norteia os investimentos e oramento para infraestrutura de TI da instituio, alinhandoos continuamente com os objetivos de negcio. Alm disso, uma ferramenta de diagnstico,
planejamento e gesto dos recursos e processos de Tecnologia da Informao para atender s
necessidades de informao do INMETRO realizadas atravs da rea de TI e auxili-la no alcance
dos seus objetivos e metas institucionais.
A Poltica de Segurana da Informao e Comunicaes (PoSIC) est alinhada com este documento
e contm as diretrizes estratgicas para segurana da informao e comunicaes na Instituio.
2/21
PoSIC 2015
Poltica de Segurana da Informao e Comunicaes
Instituto Nacional de Metrologia, Qualidade e Tecnologia
ANEXO I
Escopo........................................................................................................................................................ 4
2.
Objetivo ..................................................................................................................................................... 4
3.
4.
5.
6.
Princpios ................................................................................................................................................. 10
7.
8.
9.
Penalidades.............................................................................................................................................. 18
10.
11.
Divulgao e Conscientizao.............................................................................................................. 19
12.
Atualizao .......................................................................................................................................... 20
13.
Principais Siglas.................................................................................................................................... 20
3/21
PoSIC 2015
Poltica de Segurana da Informao e Comunicaes
Instituto Nacional de Metrologia, Qualidade e Tecnologia
1. Escopo
1.1. A Poltica de Segurana da Informao e Comunicaes (PoSIC) uma declarao formal
acerca do compromisso com a proteo das informaes de sua propriedade e/ou sob sua
guarda. Seu propsito direcionar o INMETRO no que diz respeito gesto dos riscos e do
tratamento dos incidentes de Segurana da Informao e Comunicaes (SIC), por meio da
adoo de procedimentos e mecanismos, que visam a eliminao ou reduo de ocorrncia
de modificaes no autorizadas (confidencialidade, integridade e autenticidade), bem como
a disponibilidade de recursos e sistemas crticos para garantir a continuidade dos negcios do
INMETRO, em conformidade com a legislao vigente, normas pertinentes, requisitos
regulamentares e contratuais, valores ticos e as melhores prticas de SIC.
2. Objetivo
2.1. A PoSIC objetiva instituir diretrizes estratgicas, responsabilidades e competncias, visando
assegurar a disponibilidade, integridade, confidencialidade e autenticidade dos dados,
informaes, documentos e conhecimentos produzidos, armazenados ou transmitidos, por
qualquer meio dos sistemas de informao do INMETRO, contra ameaas e vulnerabilidades,
de modo a preservar os seus ativos, inclusive sua imagem institucional.
2.2. Alm disso, objetiva estabelecer o comprometimento da alta direo organizacional do
3. Abrangncia e vigncia
3.1. A Poltica de Segurana da Informao e Comunicaes (PoSIC) se aplica a todos as unidades
administrativas, servidores, funcionrios e colaboradores externos que prestam servio em
razo de contratos administrativos firmados na forma da Lei e, no que couber, no
relacionamento com outros rgos pblicos ou entidades privadas na celebrao de parcerias,
acordos de cooperao de qualquer tipo, convnios e termos congneres.
3.2. A PoSIC tem prazo de validade indeterminado, portanto, sua vigncia se estender at a
edio
de
outro
marco
normativo
que
a
atualize
ou
a
revogue.
4/21
PoSIC 2015
Poltica de Segurana da Informao e Comunicaes
Instituto Nacional de Metrologia, Qualidade e Tecnologia
4. Conceitos e Definies
Os conceitos e definies constantes deste item se aplicam de forma a auxiliar a interpretao da
Poltica de Segurana da Informao e das Comunicaes do INMETRO e tambm no
estabelecimento de futuras normas complementares.
4.1. A informao um ativo essencial para os negcios do INMETRO e consequentemente
necessita ter uma proteo adequada, em especial nos ambientes interconectados onde
crescente o nmero e a variedade de ameaas e vulnerabilidades.
4.2. A estrutura normativa da SIC do INMETRO ser composta por um conjunto de documentos
com dois nveis hierrquicos distintos, relacionados a seguir:
4.2.1. Poltica de Segurana da Informao e Comunicaes (PoSIC): Define a estrutura, as
diretrizes e as obrigaes referentes SIC.
4.2.2. Normas Internas (NIs): Estabelece responsabilidades e procedimentos definidos de acordo
com as diretrizes da PoSIC. Tem como objetivos:
4.2.2.1. Definir regras e instrumentos de controle para assegurar a conformidade de processos,
produtos ou servios;
4.2.2.2. Proporcionar meios mais eficientes na troca de informaes, melhorando a
confiabilidade das atividades pblicas e dos servios prestados pelo INMETRO;
4.2.2.3. Evitar a existncia de regulamentos conflitantes sobre processos, produtos ou servios.
4.3. Para os fins desta Poltica, considera-se:
a) Ameaa: Conjunto de fatores externos ou causa potencial de um incidente indesejado, que pode
resultar em dano para um sistema ou para o INMETRO.
b) Ativos de informao: Os meios de armazenamento, transmisso e processamento de informao, os
sistemas de informao, bem como os locais onde se encontram esses meios, as pessoas que a eles tm
acesso, a imagem institucional, os servios e tudo aquilo que tem valor para o INMETRO e que esteja
relacionado com a informao e comunicaes.
c) Contas de acesso: Permisses concedidas por autoridade competente do INMETRO aps o processo de
credenciamento, que habilitam determinada pessoa, sistema ou organizao ao acesso. A credencial pode
ser fsica, como crach, carto, token, selo ou lgica para identificao de usurios.
d) Governana de TI: de responsabilidade dos executivos e da alta direo, consistindo em aspectos de
5/21
PoSIC 2015
Poltica de Segurana da Informao e Comunicaes
Instituto Nacional de Metrologia, Qualidade e Tecnologia
liderana, estrutura organizacional e processos que garantam que a rea de TI da organizao suporte e
aprimore os objetivos e as estratgias da organizao. (IT Governance Institute - ITGI, 2007, p. 7)
e) Incidente de segurana: Qualquer evento adverso, confirmado ou sob suspeita, ou ocorrncia que
promova uma ou mais aes tendentes a comprometer ou ameaar a disponibilidade, a integridade,
confidencialidade ou a autenticidade de qualquer ativo de informao do INMETRO.
f) Plano de Continuidade de Negcios: documentao dos procedimentos e informaes necessrias para
que os rgos ou entidades da Administrao Pblica Federal mantenham seus ativos de informao
crticos e a continuidade de suas atividades crticas em local alternativo num nvel previamente definido,
em casos de incidentes.
g) Plano de Gerenciamento de Incidentes: plano de ao claramente definido e documentado, para ser
usado quando ocorrer um incidente que basicamente cubra as principais pessoas, recursos, servios e
outras aes que sejam necessrias para implementar o processo de gerenciamento de incidentes.
h) Plano de Recuperao de Desastres: documentao dos procedimentos e informaes necessrias para
que o rgo ou entidade da Administrao Pblica Federal operacionalize o retorno das atividades crticas a
normalidade.
i) Quebra de segurana: Ao ou omisso, intencional ou acidental, que resulta no comprometimento da
SIC do INMETRO.
j) Resilincia: Poder de recuperao ou capacidade de enfrentamento gil de situaes inesperadas e de
superao das adversidades para restabelecer processo de normalidade do INMETRO e resistir aos efeitos
de um incidente.
k) Segurana da Informao e Comunicaes (SIC): Aes que objetivam viabilizar e assegurar a
disponibilidade, integridade, confidencialidade e autenticidade das informaes, abrangendo no s
aspectos tecnolgicos, mas tambm recursos humanos e processos.
l) Tecnologia da Informao (TI): Conjunto de todas as atividades e solues providas por recursos de
computao. Serve para designar o conjunto de recursos tecnolgicos e computacionais para gerao e uso
da informao.
Este termo comumente utilizado para designar o conjunto de recursos no humanos dedicados ao
armazenamento, processamento e comunicao da informao, bem como o modo como esses recursos
esto organizados em um sistema capaz de executar um conjunto de tarefas.
m) Usurio(s): Servidores, agentes pblicos, terceirizados, colaboradores, consultores, auditores e
estagirios que obtiveram autorizao do responsvel pela rea interessada de acesso aos Ativos de
Informao do INMETRO, formalizada por meio da assinatura de um Termo de Responsabilidade.
6/21
PoSIC 2015
Poltica de Segurana da Informao e Comunicaes
Instituto Nacional de Metrologia, Qualidade e Tecnologia
5.1. Lei n 8.112, de 11 de dezembro de 1990, que dispe sobre o regime jurdico dos servidores
pblicos civis da Unio, das autarquias e das fundaes pblicas federais.
5.2. Decreto n 3.505, de 13 de junho de 2000, que institui a Poltica de Segurana da Informao
nos rgos e entidades da Administrao Pblica Federal.
5.3. Lei n 9.983, de 14 de julho de 2000, que dispe sobre a responsabilidade administrativa,
civil e criminal de usurios que cometam irregularidades em razo do acesso a dados,
informaes e sistemas informatizados da Administrao Pblica.
5.4.
5.5.
5.6. Norma ABNT NBR/ISO/IEC 27002:2005, que institui o cdigo de melhores prticas para
7/21
PoSIC 2015
Poltica de Segurana da Informao e Comunicaes
Instituto Nacional de Metrologia, Qualidade e Tecnologia
PoSIC 2015
Poltica de Segurana da Informao e Comunicaes
Instituto Nacional de Metrologia, Qualidade e Tecnologia
9/21
PoSIC 2015
Poltica de Segurana da Informao e Comunicaes
Instituto Nacional de Metrologia, Qualidade e Tecnologia
PoSIC 2015
Poltica de Segurana da Informao e Comunicaes
Instituto Nacional de Metrologia, Qualidade e Tecnologia
6. Princpios
As aes relacionadas com a SIC no INMETRO so norteadas pelos seguintes princpios, assim definidos:
a) Autenticidade: Garantia de que a informao foi produzida, expedida, modificada ou destruda dentro
de preceitos legais e normativos, por pessoa fsica, ou por sistema, rgo ou entidade vinculado ao
INMETRO.
b) Celeridade: As aes de SIC devem oferecer respostas rpidas a incidentes e falhas de segurana.
c) Confidencialidade: Garantia de que a informao no esteja disponvel ou revelada pessoa fsica,
sistema, rgo ou entidade no autorizada pelo INMETRO.
d) Conhecimento: Os usurios devem conhecer e respeitar a PoSIC, NIs e demais regulamentaes sobre
SIC do INMETRO.
e) Clareza: As regras de SIC, documentao e comunicaes devem ser precisas, concisas e de fcil
entendimento.
f) Disponibilidade: Garantia de que a informao esteja acessvel e utilizvel sob demanda por uma
pessoa fsica ou determinado sistema, rgo ou entidade vinculada ao INMETRO.
g) tica: Os direitos e interesses legtimos dos usurios devem ser preservados, sem comprometimento da
SIC.
h) Integridade: Garantia de que a informao no foi modificada ou destruda de maneira no autorizada
ou acidental, seja na sua origem, no trnsito e no seu destino.
i) Legalidade: As aes de segurana devem levar em considerao as atribuies regimentais, bem como
as leis, normas e polticas organizacionais, administrativas, tcnicas e operacionais do INMETRO.
j) Privacidade: Garantia ao direito pessoal e coletivo, intimidade e ao sigilo da correspondncia e das
comunicaes individuais.
k) Publicidade: Transparncia no trato da informao, observados os critrios legais.
11/21
PoSIC 2015
Poltica de Segurana da Informao e Comunicaes
Instituto Nacional de Metrologia, Qualidade e Tecnologia
l) Responsabilidade: As responsabilidades primrias e finais pela segurana dos ativos do INMETRO e pelo
cumprimento de processos de segurana devem ser claramente definidas
7. Diretrizes de Segurana
7.1. Esta PoSIC define as diretrizes para a SIC do INMETRO e descreve a conduta considerada
adequada para o manuseio, controle e proteo das informaes contra destruio,
modificao, divulgao indevida e acessos no autorizados, sejam acidentais ou
intencionais.
7.2. As diretrizes da PoSIC constituem os principais pilares da Gesto de Segurana da
Informao, norteando a elaborao das Normas Internas (NIs):
7.3. Devero mantidos Plano de Gerenciamento de Incidentes e Plano de Recuperao de
Desastres formais e periodicamente testados, para garantir a continuidade das atividades
crticas e o retorno situao de normalidade.
7.4. Os sistemas, as informaes e os servios do INMETRO utilizados pelos usurios, no exerccio
de suas atividades, so de exclusiva propriedade do INMETRO, no podendo ser
interpretados como de uso pessoal e devem ser protegidos, segundo as diretrizes descritas
nesta Poltica e demais regulamentaes em vigor.
7.5. Todos os ativos de informao esto sujeitos a monitorao e auditora, e que os registros
assim obtidos podero ser utilizados para deteco de violaes da PoSIC e demais
regulamentaes em vigor.
7.6. Os recursos de tecnologia da informao de propriedade do INMETRO so fornecidos para
uso corporativo, para os fins a que se destinam e no interesse da administrao.
considerada imprpria a utilizao desses recursos para propsitos no profissionais ou no
autorizados. Os usurios e visitantes que tomarem conhecimento dessa prtica devem levla ao conhecimento do superior imediato para que sejam aplicadas as aes disciplinares
cabveis.
7.7. Informaes confidenciais do INMETRO no podem ser transportadas em qualquer meio
sem as devidas autorizaes e protees.
7.8. Assuntos confidenciais de trabalho no devem ser discutidos em ambientes pblicos ou em
reas expostas.
7.9. A identificao do usurio deve ser pessoal e intransfervel, qualquer que seja a forma,
permitindo de maneira clara e irrefutvel o reconhecimento do envolvido.
12/21
PoSIC 2015
Poltica de Segurana da Informao e Comunicaes
Instituto Nacional de Metrologia, Qualidade e Tecnologia
7.10. Qualquer tipo de dvida sobre a PoSIC, as Normas Internas (NIs) e demais regulamentaes
de SIC deve ser imediatamente esclarecido com a rea de Gesto de Segurana da
Informao.
8. Diretrizes Especficas
8.1. Gesto da Segurana da Informao e Comunicaes (GESIC)
8.1.1. Todos os mecanismos de proteo utilizados para a SIC devem ser mantidos com o objetivo
de garantir a continuidade do negcio (regular exerccio das funes institucionais).
8.1.2. As medidas de proteo devem ser planejadas e os gastos na aplicao de controles devem
ser compatveis com valor do ativo protegido.
8.1.3. Os requisitos de SIC do INMETRO devem estar explicitamente citados em todos os termos de
compromisso celebrados entre o INMETRO e terceiros.
8.2. Gesto de Ativos
8.2.1. A gesto dos ativos de informao dever observar normas operacionais e procedimentos
especficos, a fim de garantir sua operao segura e contnua.
8.2.2. Os ativos de informao do INMETRO devero ser inventariados, atribudos aos respectivos
responsveis e seu uso deve estar em conformidade com os princpios e normas
operacionais de SIC e so destinados ao uso corporativo, sendo vedada a utilizao para fins
em desconformidade com os interesses institucionais.
8.2.3. Todos os ativos devero ser classificados em termos de valor, requisitos legais, sensibilidade
e criticidade para a Instituio.
8.2.4. O usurio deve ter acesso apenas aos ativos necessrios e indispensveis ao seu trabalho,
respeitando as recomendaes de sigilo de normas e legislao especfica de classificao de
informao.
8.3. Tratamento da Informao
8.3.1. A informao deve ser protegida de forma preventiva, com o objetivo de minimizar riscos s
atividades e servios do INMETRO.
8.3.2. Os dados, as informaes e os sistemas de informao do INMETRO devem ser protegidos
contra ameaas e aes no autorizadas, acidentais ou no, de modo a reduzir riscos e
garantir a disponibilidade, integridade, confidencialidade e autenticidade desses bens.
13/21
PoSIC 2015
Poltica de Segurana da Informao e Comunicaes
Instituto Nacional de Metrologia, Qualidade e Tecnologia
8.3.3. A informao deve ser protegida de acordo com o seu valor, sensibilidade e criticidade,
elaborando-se, para tanto, sistema de classificao da informao.
8.4. Da Classificao da Informao
8.4.1. As informaes criadas, armazenadas, manuseadas, transportadas ou descartadas no
INMETRO devero ser classificadas segundo o grau de sigilo, criticidade e outros, conforme
normas e legislao especfica em vigor.
8.4.2. Todo usurio dever ser capaz de identificar a classificao atribuda a uma informao
tratada pelo INMETRO e, a partir dela, conhecer e obedecer s restries de acesso e
divulgao associadas.
8.5. Do Material Imprprio
8.5.1. expressamente proibido o acesso, uso, guarda e encaminhamento de material no tico,
discriminatrio, malicioso, obsceno ou ilegal, por intermdio de quaisquer dos meios
recursos de comunicaes disponibilizados pelo INMETRO.
8.6. Gesto de Tratamento de Incidentes de Segurana em Redes (GETIR)
8.6.1. A rea de Tecnologia da informao dever criar e manter Equipe de Tratamento e Resposta
a Incidentes em Redes Computacionais (ETIR), instituda pelo Comit da Segurana da
Informao e Comunicaes (COSIC), com a responsabilidade de receber, analisar e
responder notificaes e atividades relacionadas incidentes de segurana em rede de
computadores.
8.6.2. Os eventos e incidentes de SIC devem ser tratados de acordo com um Plano de
Gerenciamento de Incidentes especfico, comunicados e registrados.
8.7. Gesto de Riscos de Segurana da Informao e Comunicaes (GRSIC)
8.7.1. A GRSIC um conjunto de processos que permite identificar e implementar as medidas de
proteo necessrias para minimizar ou eliminar os riscos a que esto sujeitos os seus ativos
de informao e equilibr-los com os custos operacionais e financeiros envolvidos.
8.7.2. As reas responsveis por ativos de informao devero implementar processo contnuo de
Gesto de Riscos, que ser aplicado na implementao e operao da GRSIC.
8.7.3. A GRSIC deve ser realizada no mbito do INMETRO, visando identificar os ativos relevantes e
determinar aes de gesto apropriadas, e deve ser atualizada periodicamente, no mnimo
14/21
PoSIC 2015
Poltica de Segurana da Informao e Comunicaes
Instituto Nacional de Metrologia, Qualidade e Tecnologia
PoSIC 2015
Poltica de Segurana da Informao e Comunicaes
Instituto Nacional de Metrologia, Qualidade e Tecnologia
16/21
PoSIC 2015
Poltica de Segurana da Informao e Comunicaes
Instituto Nacional de Metrologia, Qualidade e Tecnologia
d) englobar o acompanhamento dos pontos falhos identificados pela auditoria at que sejam
regularizados, configurando interseo das duas reas;
e) auxiliar os usurios na resoluo de situaes no cobertas pela legislao.
8.11.2. Metodologias voltadas boa conduta e de conformidade devem estar integradas, pois se
baseiam em valores e responsabilidade morais, bem como no cumprimento e conformidade das
leis e polticas internas.
8.12. Controle de Acesso
8.12.1. As regras de controle de acesso a todo sistema corporativo, Intranet, Internet,
informaes, dados e s instalaes fsicas do INMETRO devero ser definidas e regulamentadas,
atravs de Normas Internas (NIs), com o objetivo de garantir a segurana dos usurios e a proteo
dos ativos do INMETRO.
8.12.2. Todas as contas de acesso aos ativos de informao e as instalaes fsicas do INMETRO
devero ser revogadas ou suspensas quando no mais necessrias, conforme normas e legislao
especfica em vigor.
8.12.3. Todo acesso s informaes e aos ambientes lgicos do INMETRO deve ser controlado, de
forma a garantir acesso apenas s pessoas autorizadas pelo respectivo proprietrio da informao
contemplando:
a) Controle de Acesso Lgico: Permite que os sistemas de TI verifiquem a identidade dos usurios que
tentam utilizar seus servios. Deve ainda utilizar a legislao especfica para a concesso de acesso s
informaes sigilosas e para o acesso remoto, no mbito da rede corporativa, por meio de canal seguro.
b) Controle de Acesso Fsico: Por questo de segurana, obrigatrio o uso de identificao fsica em
todos os ambientes e instalaes do INMETRO.
17/21
PoSIC 2015
Poltica de Segurana da Informao e Comunicaes
Instituto Nacional de Metrologia, Qualidade e Tecnologia
9. Penalidades
9.1. O descumprimento ou violao, pelo usurio, das regras previstas na Poltica de Segurana
da Informao e Comunicaes (PoSIC) poder resultar na aplicao das sanes previstas
em regulamentaes internas e legislao em vigor.
9.2. O usurio responder disciplinarmente e/ou civilmente pelo prejuzo que vier a ocasionar ao
INMETRO, podendo culminar com o seu desligamento e eventuais processos criminais, se
aplicveis.
18/21
PoSIC 2015
Poltica de Segurana da Informao e Comunicaes
Instituto Nacional de Metrologia, Qualidade e Tecnologia
10.3. O usurio responsvel pela segurana dos ativos e processos que estejam sob sua
responsabilidade e por todos os atos executados com suas identificaes, tais como: crach,
token, login, senha eletrnica, certificado digital e endereo de correio eletrnico.
10.4. Independentemente da adoo de outras medidas, o titular da unidade administrativa
dever, de imediato, comunicar todo incidente de SIC que ocorra no mbito de suas atividades ao
COSIC, mediante o envio de relatrio circunstanciado.
19/21
PoSIC 2015
Poltica de Segurana da Informao e Comunicaes
Instituto Nacional de Metrologia, Qualidade e Tecnologia
10.5. No caso de incidente de SIC, o comunicado deve ser feito ETIR do INMETRO.
10.6. dever do usurio do INMETRO conhecer e zelar pelo cumprimento desta Poltica de
Segurana da Informao e Comunicaes.
10.7. Quando for o caso, o titular da unidade administrativa do INMETRO providenciar
autorizao relativa concesso de acessos sobre as informaes de terceiros.
10.8. Para a cesso de informao do INMETRO a terceiros, o titular da unidade administrativa,
ouvida a rea jurdica do INMETRO, providenciar a documentao formal relativa a essa cesso.
10.9. Todos os usurios do INMETRO so responsveis pelas aes de SIC, observando de forma
especfica as atribuies pertinentes a cada cargo e /ou funo.
10.10. Os casos omissos e as dvidas surgidas na aplicao desta PoSIC sero analisados, dirimidos
ou solucionados pelo COSIC.
12.
Atualizao
20/21
PoSIC 2015
Poltica de Segurana da Informao e Comunicaes
Instituto Nacional de Metrologia, Qualidade e Tecnologia
12.3. As unidades do INMETRO tero prazo de 90 (noventa) dias, a contar da publicao desta
PoSIC, para submeterem ao Comit de Segurana da Informao e Comunicaes (COSIC),
proposta de atualizao desta PoSIC.
21/21