Posic Inmetro 2015

PoSIC 2015
Poltica de Segurana da Informao e Comunicaes

Instituto Nacional de Metrologia, Qualidade e Tecnologia

- 2015
INMETRO
1/21
PoSIC 2015
1. Apresentao do INMETRO
O Instituto Nacional de Metrologia, Qualidade e Tecnologia uma autarquia do governo federal
que atua em vrias frentes que envolvem proteo ao cidado nas relaes de consumo, estmulo
competitividade da empresa brasileira, qualidade, inovao e ampliao de conhecimento em
cincia e tecnologia e como regulamentador de produtos e servios com foco em segurana,
sade e meio ambiente.
2. Misso do INMETRO
Prover confiana sociedade brasileira nas medies e nos produtos, por meio da metrologia e da
avaliao da conformidade, promovendo a harmonizao das relaes de consumo, a inovao e a
competitividade do pas.
3. Viso de Futuro do INMETRO
rgo de Estado fundamental e estratgico ao desenvolvimento socioeconmico do Brasil, pela
relevncia e qualidade de seus servios, pelo apoio inovao, por sua excelncia tcnica,
cientfica e de gesto, com amplo reconhecimento nacional e internacional.
4. Plano Diretor de Tecnologia da Informao 2015-2016 e Poltica de Segurana da Informao e
Comunicaes (PoSIC)
O Plano Diretor de Tecnologia da Informao (PDTI) do INMETRO um instrumento base de
planejamento estratgico o INMETRO. Ele direciona a equipe de TI nas suas rotinas e projetos e
tambm norteia os investimentos e oramento para infraestrutura de TI da instituio, alinhandoos continuamente com os objetivos de negcio. Alm disso, uma ferramenta de diagnstico,
planejamento e gesto dos recursos e processos de Tecnologia da Informao para atender s
necessidades de informao do INMETRO realizadas atravs da rea de TI e auxili-la no alcance
dos seus objetivos e metas institucionais.
A Poltica de Segurana da Informao e Comunicaes (PoSIC) est alinhada com este documento
e contm as diretrizes estratgicas para segurana da informao e comunicaes na Instituio.
2/21
PoSIC 2015
ANEXO I
Poltica de Segurana da Informao e Comunicaes - PoSIC

Sumrio
1.
Escopo........................................................................................................................................................ 4
2.
Objetivo ..................................................................................................................................................... 4
3.
Abrangncia e vigncia .............................................................................................................................. 4
4.
Conceitos e Definies .............................................................................................................................. 5
5.
Referncias Legais e Normativas ............................................................................................................... 7
6.
Princpios ................................................................................................................................................. 10
7.
Diretrizes de Segurana ........................................................................................................................... 11
8.
Diretrizes Especficas ............................................................................................................................... 12
9.
Penalidades.............................................................................................................................................. 18
10.
Competncias e Responsabilidades .................................................................................................... 18
11.
Divulgao e Conscientizao.............................................................................................................. 19
12.
Atualizao .......................................................................................................................................... 20
13.
Principais Siglas.................................................................................................................................... 20
3/21
PoSIC 2015
1. Escopo
1.1. A Poltica de Segurana da Informao e Comunicaes (PoSIC) uma declarao formal
acerca do compromisso com a proteo das informaes de sua propriedade e/ou sob sua
guarda. Seu propsito direcionar o INMETRO no que diz respeito gesto dos riscos e do
tratamento dos incidentes de Segurana da Informao e Comunicaes (SIC), por meio da
adoo de procedimentos e mecanismos, que visam a eliminao ou reduo de ocorrncia
de modificaes no autorizadas (confidencialidade, integridade e autenticidade), bem como
a disponibilidade de recursos e sistemas crticos para garantir a continuidade dos negcios do
INMETRO, em conformidade com a legislao vigente, normas pertinentes, requisitos
regulamentares e contratuais, valores ticos e as melhores prticas de SIC.
2. Objetivo
2.1. A PoSIC objetiva instituir diretrizes estratgicas, responsabilidades e competncias, visando
assegurar a disponibilidade, integridade, confidencialidade e autenticidade dos dados,
informaes, documentos e conhecimentos produzidos, armazenados ou transmitidos, por
qualquer meio dos sistemas de informao do INMETRO, contra ameaas e vulnerabilidades,
de modo a preservar os seus ativos, inclusive sua imagem institucional.
2.2. Alm disso, objetiva estabelecer o comprometimento da alta direo organizacional do
INMETRO, com vistas a prover apoio para implementao da Gesto de Segurana da

Informao e Comunicaes (GESIC), e estabelecer um ambiente seguro, proporcionando
melhor qualidade nos processos de gesto e controle dos sistemas de informao e
informtica.
3. Abrangncia e vigncia
3.1. A Poltica de Segurana da Informao e Comunicaes (PoSIC) se aplica a todos as unidades
administrativas, servidores, funcionrios e colaboradores externos que prestam servio em
razo de contratos administrativos firmados na forma da Lei e, no que couber, no
relacionamento com outros rgos pblicos ou entidades privadas na celebrao de parcerias,
acordos de cooperao de qualquer tipo, convnios e termos congneres.
3.2. A PoSIC tem prazo de validade indeterminado, portanto, sua vigncia se estender at a
edio
de
outro
marco
normativo
que
a
atualize
ou
a
revogue.
4/21
PoSIC 2015
4. Conceitos e Definies
Os conceitos e definies constantes deste item se aplicam de forma a auxiliar a interpretao da
Poltica de Segurana da Informao e das Comunicaes do INMETRO e tambm no
estabelecimento de futuras normas complementares.
4.1. A informao um ativo essencial para os negcios do INMETRO e consequentemente
necessita ter uma proteo adequada, em especial nos ambientes interconectados onde
crescente o nmero e a variedade de ameaas e vulnerabilidades.
4.2. A estrutura normativa da SIC do INMETRO ser composta por um conjunto de documentos
com dois nveis hierrquicos distintos, relacionados a seguir:
4.2.1. Poltica de Segurana da Informao e Comunicaes (PoSIC): Define a estrutura, as
diretrizes e as obrigaes referentes SIC.
4.2.2. Normas Internas (NIs): Estabelece responsabilidades e procedimentos definidos de acordo
com as diretrizes da PoSIC. Tem como objetivos:
4.2.2.1. Definir regras e instrumentos de controle para assegurar a conformidade de processos,
produtos ou servios;
4.2.2.2. Proporcionar meios mais eficientes na troca de informaes, melhorando a
confiabilidade das atividades pblicas e dos servios prestados pelo INMETRO;
4.2.2.3. Evitar a existncia de regulamentos conflitantes sobre processos, produtos ou servios.
4.3. Para os fins desta Poltica, considera-se:
a) Ameaa: Conjunto de fatores externos ou causa potencial de um incidente indesejado, que pode
resultar em dano para um sistema ou para o INMETRO.
b) Ativos de informao: Os meios de armazenamento, transmisso e processamento de informao, os
sistemas de informao, bem como os locais onde se encontram esses meios, as pessoas que a eles tm
acesso, a imagem institucional, os servios e tudo aquilo que tem valor para o INMETRO e que esteja
relacionado com a informao e comunicaes.
c) Contas de acesso: Permisses concedidas por autoridade competente do INMETRO aps o processo de
credenciamento, que habilitam determinada pessoa, sistema ou organizao ao acesso. A credencial pode
ser fsica, como crach, carto, token, selo ou lgica para identificao de usurios.
d) Governana de TI: de responsabilidade dos executivos e da alta direo, consistindo em aspectos de
5/21
PoSIC 2015
liderana, estrutura organizacional e processos que garantam que a rea de TI da organizao suporte e
aprimore os objetivos e as estratgias da organizao. (IT Governance Institute - ITGI, 2007, p. 7)
e) Incidente de segurana: Qualquer evento adverso, confirmado ou sob suspeita, ou ocorrncia que
promova uma ou mais aes tendentes a comprometer ou ameaar a disponibilidade, a integridade,
confidencialidade ou a autenticidade de qualquer ativo de informao do INMETRO.
f) Plano de Continuidade de Negcios: documentao dos procedimentos e informaes necessrias para
que os rgos ou entidades da Administrao Pblica Federal mantenham seus ativos de informao
crticos e a continuidade de suas atividades crticas em local alternativo num nvel previamente definido,
em casos de incidentes.
g) Plano de Gerenciamento de Incidentes: plano de ao claramente definido e documentado, para ser
usado quando ocorrer um incidente que basicamente cubra as principais pessoas, recursos, servios e
outras aes que sejam necessrias para implementar o processo de gerenciamento de incidentes.
h) Plano de Recuperao de Desastres: documentao dos procedimentos e informaes necessrias para
que o rgo ou entidade da Administrao Pblica Federal operacionalize o retorno das atividades crticas a
normalidade.
i) Quebra de segurana: Ao ou omisso, intencional ou acidental, que resulta no comprometimento da
SIC do INMETRO.
j) Resilincia: Poder de recuperao ou capacidade de enfrentamento gil de situaes inesperadas e de
superao das adversidades para restabelecer processo de normalidade do INMETRO e resistir aos efeitos
de um incidente.
k) Segurana da Informao e Comunicaes (SIC): Aes que objetivam viabilizar e assegurar a
disponibilidade, integridade, confidencialidade e autenticidade das informaes, abrangendo no s
aspectos tecnolgicos, mas tambm recursos humanos e processos.
l) Tecnologia da Informao (TI): Conjunto de todas as atividades e solues providas por recursos de
computao. Serve para designar o conjunto de recursos tecnolgicos e computacionais para gerao e uso
da informao.
Este termo comumente utilizado para designar o conjunto de recursos no humanos dedicados ao
armazenamento, processamento e comunicao da informao, bem como o modo como esses recursos
esto organizados em um sistema capaz de executar um conjunto de tarefas.
m) Usurio(s): Servidores, agentes pblicos, terceirizados, colaboradores, consultores, auditores e
estagirios que obtiveram autorizao do responsvel pela rea interessada de acesso aos Ativos de
Informao do INMETRO, formalizada por meio da assinatura de um Termo de Responsabilidade.
6/21
PoSIC 2015
n) Vulnerabilidade: Qualquer fragilidade dos sistemas computacionais e redes de computadores que

permita a explorao maliciosa e acessos indesejveis ou no autorizados. Tambm definida como
conjunto de fatores internos ou causa potencial de um incidente indesejado, que pode resultar em risco
para um ativo ou sistema e pode ser evitado por uma ao interna de SIC.
o) Dispositivos mveis: Consiste em equipamentos portteis dotados de capacidade computacional, e
dispositivos removveis de memria para armazenamento, entre os quais se incluem, no se limitando a
estes: notebooks, netbooks, smartphones, tablets, pendrives, USB drives, HDs externos e cartes de
memria.
p) Computao em Nuvem: Modelo computacional que permite acesso por demanda, e independente da
localizao, a um conjunto compartilhado de recursos configurveis de computao (rede de
computadores, servidores, processamento, armazenamento, aplicativos e servios), provisionados com
esforos mnimos de gesto ou interao com o provedor de servios.
q) Redes Sociais: Estruturas sociais, disponveis na rede mundial de computadores (Internet), compostas
por pessoas ou organizaes, conectadas por um ou vrios tipos de relaes, que partilham valores e
objetivos comuns.
5. Referncias Legais e Normativas

As aes de SIC do INMETRO devero observar os seguintes requisitos legais e normativos:
5.1. Lei n 8.112, de 11 de dezembro de 1990, que dispe sobre o regime jurdico dos servidores
pblicos civis da Unio, das autarquias e das fundaes pblicas federais.
5.2. Decreto n 3.505, de 13 de junho de 2000, que institui a Poltica de Segurana da Informao
nos rgos e entidades da Administrao Pblica Federal.
5.3. Lei n 9.983, de 14 de julho de 2000, que dispe sobre a responsabilidade administrativa,
civil e criminal de usurios que cometam irregularidades em razo do acesso a dados,
informaes e sistemas informatizados da Administrao Pblica.
5.4.
Decreto n 4.553, de 27 de dezembro de 2002, que dispe sobre a salvaguarda de dados,

informaes, documentos e materiais sigilosos de interesse de segurana da sociedade e do
Estado, no mbito da Administrao Pblica Federal, e d outras providncias.
5.5.
Decreto n 5.482, de 30 de junho de 2005, que dispe sobre a divulgao de dados e

informaes pelos rgos e entidades da administrao pblica federal, por meio da Rede
Mundial de Computadores (Internet).
5.6. Norma ABNT NBR/ISO/IEC 27002:2005, que institui o cdigo de melhores prticas para
7/21
PoSIC 2015
Gesto de Segurana da Informao e Comunicaes.

5.7. Norma ABNT NBR/ISO/IEC 27001:2006, que estabelece os elementos de um Sistema de
Gesto de Segurana da Informao e Comunicaes.
5.8. Portaria Interministerial MCT/MPOG n 140, de 16 de maro de 2006, que disciplina a
divulgao de dados e informaes pelos rgos e entidades da Administrao Pblica
Federal, por meio da rede mundial de computadores (Internet) e d outras providncias.
5.9. Norma ABNT NBR/ISO/IEC 15999:2007, que institui o cdigo de melhores prticas para
Gesto de continuidade de negcios.
5.10. Decreto n 6.029, de 1 de fevereiro de 2007, que institui o Sistema de Gesto da tica do
Poder Executivo Federal, e d outras providncias.
5.11. Norma ABNT NBR ISO/IEC 27005:2008, que fornece as diretrizes para a Gesto de Riscos de
Segurana da Informao e Comunicaes.
5.12. Instruo Normativa GSI/PR N 1, de 13 de junho de 2008, que disciplina a Gesto de
Segurana da Informao e Comunicaes na Administrao Pblica Federal, direta e
indireta, e d outras providncias.
5.13. Norma Complementar n 01/IN01/DSIC/GSI/PR, de 13 de outubro de 2008, que estabelece
critrios e procedimentos para elaborao, atualizao, alterao, aprovao e publicao
de normas complementares sobre Gesto de Segurana da Informao e Comunicaes, no
mbito da Administrao Pblica Federal, direta e indireta.
5.14. Norma Complementar n 02/IN01/DSIC/GSI/PR, de 13 de outubro de 2008, que define a
metodologia de Gesto de Segurana da Informao e Comunicaes utilizada pelos rgos
e entidades da Administrao Pblica Federal, direta e indireta.
5.15. Norma Complementar n 03/IN01/DSIC/GSI/PR, de 30 de junho de 2009, que estabelece
diretrizes, critrios e procedimentos para elaborao, institucionalizao, divulgao e
atualizao da Poltica de Segurana da Informao e Comunicaes (PoSIC) nos rgos e
entidades da Administrao Pblica Federal, direta e indireta.
5.16. Norma Complementar n 05/IN01/DSIC/GSI/PR, de 14 de agosto de 2009, que disciplina a
criao de Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais (ETIR)
nos rgos e entidades da Administrao Pblica Federal, direta e indireta.
5.17. Norma Complementar n 06/IN01/DSIC/GSI/PR, de 11 de novembro de 2009, que estabelece
8/21
PoSIC 2015
diretrizes para Gesto de Continuidade de Negcios, nos aspectos relacionados Segurana

da Informao e Comunicaes, nos rgos e entidades da Administrao Pblica Federal,
direta e indireta.
5.19. Norma Complementar n 08/IN01/DSIC/GSI/PR, de 19 de agosto de 2010, que Estabelece as
Diretrizes para Gesto de Incidentes em Redes Computacionais nos rgos e entidades da
Administrao Pblica Federal.
5.20. Norma Complementar n 10/IN01/DSIC/GSIPR, Estabelece diretrizes para o processo de
Inventrio e Mapeamento de Ativos de Informao, para apoiar a Segurana da Informao
e Comunicaes (SIC), dos rgos e entidades da Administrao Pblica Federal, direta e
indireta APF, publicada no DOU N 30 - Seo 1, de 10 de fevereiro de 2012. (Republicada
por ter sado com omisso do Anexo no DOU, de 9 de fevereiro de 2012, Seo 1).
5.21. Norma Complementar n 11/IN01/DSIC/GSIPR, Estabelece diretrizes para avaliao de
conformidade nos aspectos relativos Segurana da Informao e Comunicaes (SIC) nos
rgos ou entidades da Administrao Pblica Federal, direta e indireta APF, publicada no
DOU N 30 - Seo 1, de 10 de fevereiro de 2012. (Republicada por ter sado com omisso do
Anexo no DOU, de 9 de fevereiro de 2012, Seo 1).
5.22. Norma Complementar n 12/IN01/DSIC/GSIPR, Estabelece diretrizes e orientaes bsicas
para o uso de dispositivos mveis nos aspectos referentes Segurana da Informao e
Comunicaes (SIC) nos rgos e entidades da Administrao Pblica Federal (APF), direta e
indireta, publicada no DOU N 30 - Seo 1, de 10 de fevereiro de 2012. (Republicada por ter
sado com omisso do Anexo no DOU, de 9 de fevereiro de 2012, Seo 1).
5.23. Norma Complementar n 13/IN01/DSIC/GSIPR, Estabelece diretrizes para a Gesto de
Mudanas nos aspectos relativos Segurana da Informao e Comunicaes (SIC) nos
rgos e entidades da Administrao Pblica Federal, direta e indireta (APF), publicada no
DOU N 30 - Seo 1, de 10 de fevereiro de 2012. (Republicada por ter sado com omisso do
Anexo no DOU, de 9 de fevereiro de 2012, Seo 1).
5.24. Norma Complementar n 14/IN01/DSIC/GSIPR, Estabelece diretrizes para a utilizao de
tecnologias de Computao em Nuvem, nos aspectos relacionados Segurana da
Informao e Comunicaes (SIC), nos rgos e entidades da Administrao Pblica Federal
9/21
PoSIC 2015
(APF), direta e indireta, publicada no DOU N 30 - Seo 1, de 10 de fevereiro de 2012.

(Republicada por ter sado com omisso do Anexo no DOU, de 9 de fevereiro de 2012, Seo
1).
5.25. Norma Complementar n 15/IN01/DSIC/GSIPR, Estabelece diretrizes de Segurana da
Informao e Comunicaes para o uso de redes sociais, nos rgos e entidades da
Administrao Pblica Federal (APF), direta e indireta. (Publicada no DOU N 119, de 21 Jun
2012 - Seo 1).
5.26. Norma Complementar n 16/IN01/DSIC/GSIPR, Estabelece as Diretrizes para o
Desenvolvimento e Obteno de Software Seguro nos rgos e Entidades da Administrao
Pblica Federal, direta e indireta. (Publicada no DOU N 224, de 21 Nov 2012 - Seo 1).
5.27. Norma Complementar n 17/IN01/DSIC/GSIPR, Estabelece Diretrizes nos contextos de
atuao e adequaes para Profissionais da rea de Segurana da Informao e
Comunicaes (SIC) nos rgos e Entidades da Administrao Pblica Federal (APF).
(Publicada no DOU N 68, de 10 Abr 2013 - Seo 1).
5.28. Norma Complementar n 18/IN01/DSIC/GSIPR, Estabelece as Diretrizes para as Atividades de
Ensino em Segurana da Informao e Comunicaes (SIC) nos rgos e Entidades da
Administrao Pblica Federal (APF). (Publicada no DOU N 68, de 10 Abril 2013 - Seo 1).
5.29. Norma Complementar n 19/IN01/DSIC/GSIPR, Estabelece Padres Mnimos de Segurana da
Informao e Comunicaes para os Sistemas Estruturantes da Administrao Pblica Federal
(APF), direta e indireta. (Publicada no DOU N 134, de 16 Jul 2014 - Seo 1).
5.30. Norma Complementar n 21/IN01/DSIC/GSIPR, Estabelece as Diretrizes para o Registro de
Eventos, Coleta e Preservao de Evidncias de Incidentes de Segurana em Redes nos
rgos e entidades da Administrao Pblica Federal, direta e indireta. (Publicada no DOU N
196, de 10 Out 2014 - Seo 1).
5.31. Instruo Normativa GSI N 2, de 5 de fevereiro de 2013 - Dispe sobre o Credenciamento
de segurana para o tratamento de informao classificada, em qualquer grau de sigilo, no
mbito do Poder Executivo Federal. (Publicada no DOU N 32, de 18 Fev 2013- Seo 1).
5.32. Instruo Normativa GSI N 3, de 6 de maro de 2013 - Dispe sobre os parmetros e
padres mnimos dos recursos criptogrficos baseados em algoritmos de Estado para
10/21
PoSIC 2015
criptografia da informao classificada no mbito do Poder Executivo Federal. (Publicada no

DOU N 50, de 14 Mar 2013- Seo 1).
5.33. LEI N 12.527, DE 18 DE NOVEMBRO DE 2011 - de acesso a informaes.
5.34. Decreto N 7.845, de 14 de novembro de 2012 - os procedimentos para credenciamento de
segurana e tratamento de informao classificada em qualquer grau de sigilo, e dispe
sobre o Ncleo de Segurana e Credenciamento.
6. Princpios
As aes relacionadas com a SIC no INMETRO so norteadas pelos seguintes princpios, assim definidos:
a) Autenticidade: Garantia de que a informao foi produzida, expedida, modificada ou destruda dentro
de preceitos legais e normativos, por pessoa fsica, ou por sistema, rgo ou entidade vinculado ao
INMETRO.
b) Celeridade: As aes de SIC devem oferecer respostas rpidas a incidentes e falhas de segurana.
c) Confidencialidade: Garantia de que a informao no esteja disponvel ou revelada pessoa fsica,
sistema, rgo ou entidade no autorizada pelo INMETRO.
d) Conhecimento: Os usurios devem conhecer e respeitar a PoSIC, NIs e demais regulamentaes sobre
SIC do INMETRO.
e) Clareza: As regras de SIC, documentao e comunicaes devem ser precisas, concisas e de fcil
entendimento.
f) Disponibilidade: Garantia de que a informao esteja acessvel e utilizvel sob demanda por uma
pessoa fsica ou determinado sistema, rgo ou entidade vinculada ao INMETRO.
g) tica: Os direitos e interesses legtimos dos usurios devem ser preservados, sem comprometimento da
SIC.
h) Integridade: Garantia de que a informao no foi modificada ou destruda de maneira no autorizada
ou acidental, seja na sua origem, no trnsito e no seu destino.
i) Legalidade: As aes de segurana devem levar em considerao as atribuies regimentais, bem como
as leis, normas e polticas organizacionais, administrativas, tcnicas e operacionais do INMETRO.
j) Privacidade: Garantia ao direito pessoal e coletivo, intimidade e ao sigilo da correspondncia e das
comunicaes individuais.
k) Publicidade: Transparncia no trato da informao, observados os critrios legais.
11/21
PoSIC 2015
l) Responsabilidade: As responsabilidades primrias e finais pela segurana dos ativos do INMETRO e pelo
cumprimento de processos de segurana devem ser claramente definidas
7. Diretrizes de Segurana
7.1. Esta PoSIC define as diretrizes para a SIC do INMETRO e descreve a conduta considerada
adequada para o manuseio, controle e proteo das informaes contra destruio,
modificao, divulgao indevida e acessos no autorizados, sejam acidentais ou
intencionais.
7.2. As diretrizes da PoSIC constituem os principais pilares da Gesto de Segurana da
Informao, norteando a elaborao das Normas Internas (NIs):
7.3. Devero mantidos Plano de Gerenciamento de Incidentes e Plano de Recuperao de
Desastres formais e periodicamente testados, para garantir a continuidade das atividades
crticas e o retorno situao de normalidade.
7.4. Os sistemas, as informaes e os servios do INMETRO utilizados pelos usurios, no exerccio
de suas atividades, so de exclusiva propriedade do INMETRO, no podendo ser
interpretados como de uso pessoal e devem ser protegidos, segundo as diretrizes descritas
nesta Poltica e demais regulamentaes em vigor.
7.5. Todos os ativos de informao esto sujeitos a monitorao e auditora, e que os registros
assim obtidos podero ser utilizados para deteco de violaes da PoSIC e demais
regulamentaes em vigor.
7.6. Os recursos de tecnologia da informao de propriedade do INMETRO so fornecidos para
uso corporativo, para os fins a que se destinam e no interesse da administrao.
considerada imprpria a utilizao desses recursos para propsitos no profissionais ou no
autorizados. Os usurios e visitantes que tomarem conhecimento dessa prtica devem levla ao conhecimento do superior imediato para que sejam aplicadas as aes disciplinares
cabveis.
7.7. Informaes confidenciais do INMETRO no podem ser transportadas em qualquer meio
sem as devidas autorizaes e protees.
7.8. Assuntos confidenciais de trabalho no devem ser discutidos em ambientes pblicos ou em
reas expostas.
7.9. A identificao do usurio deve ser pessoal e intransfervel, qualquer que seja a forma,
permitindo de maneira clara e irrefutvel o reconhecimento do envolvido.
12/21
PoSIC 2015
7.10. Qualquer tipo de dvida sobre a PoSIC, as Normas Internas (NIs) e demais regulamentaes
de SIC deve ser imediatamente esclarecido com a rea de Gesto de Segurana da
Informao.
8. Diretrizes Especficas
8.1. Gesto da Segurana da Informao e Comunicaes (GESIC)
8.1.1. Todos os mecanismos de proteo utilizados para a SIC devem ser mantidos com o objetivo
de garantir a continuidade do negcio (regular exerccio das funes institucionais).
8.1.2. As medidas de proteo devem ser planejadas e os gastos na aplicao de controles devem
ser compatveis com valor do ativo protegido.
8.1.3. Os requisitos de SIC do INMETRO devem estar explicitamente citados em todos os termos de
compromisso celebrados entre o INMETRO e terceiros.
8.2. Gesto de Ativos
8.2.1. A gesto dos ativos de informao dever observar normas operacionais e procedimentos
especficos, a fim de garantir sua operao segura e contnua.
8.2.2. Os ativos de informao do INMETRO devero ser inventariados, atribudos aos respectivos
responsveis e seu uso deve estar em conformidade com os princpios e normas
operacionais de SIC e so destinados ao uso corporativo, sendo vedada a utilizao para fins
em desconformidade com os interesses institucionais.
8.2.3. Todos os ativos devero ser classificados em termos de valor, requisitos legais, sensibilidade
e criticidade para a Instituio.
8.2.4. O usurio deve ter acesso apenas aos ativos necessrios e indispensveis ao seu trabalho,
respeitando as recomendaes de sigilo de normas e legislao especfica de classificao de
informao.
8.3. Tratamento da Informao
8.3.1. A informao deve ser protegida de forma preventiva, com o objetivo de minimizar riscos s
atividades e servios do INMETRO.
8.3.2. Os dados, as informaes e os sistemas de informao do INMETRO devem ser protegidos
contra ameaas e aes no autorizadas, acidentais ou no, de modo a reduzir riscos e
garantir a disponibilidade, integridade, confidencialidade e autenticidade desses bens.
13/21
PoSIC 2015
8.3.3. A informao deve ser protegida de acordo com o seu valor, sensibilidade e criticidade,
elaborando-se, para tanto, sistema de classificao da informao.
8.4. Da Classificao da Informao
8.4.1. As informaes criadas, armazenadas, manuseadas, transportadas ou descartadas no
INMETRO devero ser classificadas segundo o grau de sigilo, criticidade e outros, conforme
normas e legislao especfica em vigor.
8.4.2. Todo usurio dever ser capaz de identificar a classificao atribuda a uma informao
tratada pelo INMETRO e, a partir dela, conhecer e obedecer s restries de acesso e
divulgao associadas.
8.5. Do Material Imprprio
8.5.1. expressamente proibido o acesso, uso, guarda e encaminhamento de material no tico,
discriminatrio, malicioso, obsceno ou ilegal, por intermdio de quaisquer dos meios
recursos de comunicaes disponibilizados pelo INMETRO.
8.6. Gesto de Tratamento de Incidentes de Segurana em Redes (GETIR)
8.6.1. A rea de Tecnologia da informao dever criar e manter Equipe de Tratamento e Resposta
a Incidentes em Redes Computacionais (ETIR), instituda pelo Comit da Segurana da
Informao e Comunicaes (COSIC), com a responsabilidade de receber, analisar e
responder notificaes e atividades relacionadas incidentes de segurana em rede de
computadores.
8.6.2. Os eventos e incidentes de SIC devem ser tratados de acordo com um Plano de
Gerenciamento de Incidentes especfico, comunicados e registrados.
8.7. Gesto de Riscos de Segurana da Informao e Comunicaes (GRSIC)
8.7.1. A GRSIC um conjunto de processos que permite identificar e implementar as medidas de
proteo necessrias para minimizar ou eliminar os riscos a que esto sujeitos os seus ativos
de informao e equilibr-los com os custos operacionais e financeiros envolvidos.
8.7.2. As reas responsveis por ativos de informao devero implementar processo contnuo de
Gesto de Riscos, que ser aplicado na implementao e operao da GRSIC.
8.7.3. A GRSIC deve ser realizada no mbito do INMETRO, visando identificar os ativos relevantes e
determinar aes de gesto apropriadas, e deve ser atualizada periodicamente, no mnimo
14/21
PoSIC 2015
01 (uma) vez por ano, ou tempestivamente, em funo de inventrios de ativos, de

mudanas, ameaas ou vulnerabilidades. Trata-se de um instrumento do programa de
Gesto de Riscos que deve incluir um Plano de Continuidade de Negcio e um Plano de
Gerenciamento de Incidentes.
8.7.4. O Plano de Continuidade de Negcio dever complementar a anlise de riscos, visando
limitar os impactos do incidente e garantir que as informaes requeridas para os processos
do negcio estejam prontamente disponveis.
8.7.5. O Plano de Gerenciamento de Incidentes definir responsabilidades e procedimentos para
assegurar respostas rpidas, efetivas e ordenadas a incidentes de SIC.
8.8. Gesto de Continuidade de Negcios (GECON)
8.8.1. A GECON um processo abrangente de gesto que identifica ameaas potenciais aos ativos
de informao do INMETRO e possveis impactos nas operaes de negcio, caso estas
ameaas se concretizem. Este processo fornece uma estrutura para que se desenvolva uma
resilincia organizacional que seja capaz de responder efetivamente aos incidentes de SIC e
minimizar os impactos decorrentes de falhas, desastres ou indisponibilidades significativas
sobre as atividades do INMETRO, alm de recuperar perdas de ativos de informao a um
nvel aceitvel, por intermdio de aes de preveno, resposta e recuperao, objetivando
salvaguardar os interesses do INMETRO e da sociedade.
8.8.2. As reas do INMETRO devero manter processo de gesto de continuidade de negcios,
visando no permitir que os negcios baseados em Tecnologia da Informao sejam
interrompidos e, tambm, assegurar a sua retomada em tempo hbil, quando for o caso.
8.8.3. A resilincia contra possveis interrupes de sua capacidade em atingir seus principais
objetivos deve ser uma prtica pr-ativa de todos os titulares das unidades administrativas,
de forma a proteger a reputao e a imagem institucional do INMETRO.
8.8.4. A rea de Tecnologia da Informao do INMETRO, responsvel pela GECON, dever criar um
Plano de Gerenciamento de Incidentes, de acordo com o grau de probabilidade de

ocorrncias de eventos ou sinistros e estabelecer um conjunto de estratgias e
procedimentos que dever ser adotado em situaes que comprometam o andamento
normal dos processos e a consequente prestao dos servios.
8.8.5. As medidas constantes do Plano de Gerenciamento de Incidentes devero assegurar a
disponibilidade dos ativos de informao e a recuperao de atividades crticas
normalidade, com o objetivo de minimizar o impacto sofrido diante do acontecimento de
15/21
PoSIC 2015
situaes inesperadas, desastres, falhas de segurana, entre outras, at que se retorne

normalidade.
8.9. Auditoria e Conformidade

8.9.1. A rea de Tecnologia da Informao dever manter registros e procedimentos, como trilhas
de auditoria e outros que assegurem a conformidade atravs do rastreamento,
acompanhamento, controle e verificao de acessos a todos os sistemas corporativos e rede
interna do INMETRO.
8.10. Auditoria
8.10.1. Auditar conformidades significa aferir a compreenso da cultura de conformidade e o grau
de comprometimento dos profissionais.
8.10.2. uma atividade independente, de avaliao objetiva e de consultoria, destinada a
acrescentar valor e melhorar as operaes do INMETRO. Alm disso, assiste ao INMETRO
na consecuo dos seus objetivos por meio de abordagem sistemtica e disciplinada, na
avaliao da eficcia da gesto de riscos, do controle e dos processos de Governana de TI.
8.10.3. A auditoria efetua verificao de forma aleatria e temporal por meio de amostragens para
certificar-se do cumprimento das normas e processos institudos pela alta administrao.

8.11. Conformidade
8.11.1. A conformidade o conjunto de disciplinas para fazer cumprir as normas legais e
regulamentares, as diretrizes, as PoSIC, as NIs e os procedimentos estabelecidos para o negcio e
para as atividades do INMETRO, bem como para evitar, detectar e tratar qualquer desvio ou no
conformidade que possa ocorrer, objetivando:
a) Evitar a violao de qualquer lei criminal ou civil, estatutos, regulamentaes contratuais e de
quaisquer requisitos de SIC;
b) executar atividades de verificaes de forma rotineira e permanente, monitorando-as para assegurar,
de maneira corporativa, que os departamentos e unidades estejam respeitando as regras aplicveis a
cada negcio, ou seja, cumprindo as normas e processos internos para a preveno e controle dos riscos
envolvidos em cada atividade;
c) ser to independente quanto auditoria, reportando-se alta administrao para inform-la de
eventos que representem riscos que possam afetar a reputao do INMETRO;
16/21
PoSIC 2015
d) englobar o acompanhamento dos pontos falhos identificados pela auditoria at que sejam
regularizados, configurando interseo das duas reas;
e) auxiliar os usurios na resoluo de situaes no cobertas pela legislao.
8.11.2. Metodologias voltadas boa conduta e de conformidade devem estar integradas, pois se
baseiam em valores e responsabilidade morais, bem como no cumprimento e conformidade das
leis e polticas internas.
8.12. Controle de Acesso
8.12.1. As regras de controle de acesso a todo sistema corporativo, Intranet, Internet,
informaes, dados e s instalaes fsicas do INMETRO devero ser definidas e regulamentadas,
atravs de Normas Internas (NIs), com o objetivo de garantir a segurana dos usurios e a proteo
dos ativos do INMETRO.
8.12.2. Todas as contas de acesso aos ativos de informao e as instalaes fsicas do INMETRO
devero ser revogadas ou suspensas quando no mais necessrias, conforme normas e legislao
especfica em vigor.
8.12.3. Todo acesso s informaes e aos ambientes lgicos do INMETRO deve ser controlado, de
forma a garantir acesso apenas s pessoas autorizadas pelo respectivo proprietrio da informao
contemplando:
a) Controle de Acesso Lgico: Permite que os sistemas de TI verifiquem a identidade dos usurios que
tentam utilizar seus servios. Deve ainda utilizar a legislao especfica para a concesso de acesso s
informaes sigilosas e para o acesso remoto, no mbito da rede corporativa, por meio de canal seguro.
b) Controle de Acesso Fsico: Por questo de segurana, obrigatrio o uso de identificao fsica em
todos os ambientes e instalaes do INMETRO.
8.13. Uso de e-mail

8.13.1. O correio eletrnico um recurso de comunicao corporativa do INMETRO. As regras de
acesso e utilizao de e-mail devem atender a todas as orientaes desta PoSIC e das Normas
Internas (NIs) especficas, alm das demais diretrizes do Governo.
17/21
PoSIC 2015
8.14. Acesso a Internet

8.14.1. O acesso rede mundial de computadores (Internet), no ambiente de trabalho, deve ser
regido por Normas Internas (NIs) especficas, atendendo s determinaes desta PoSIC, e demais
orientaes governamentais e legislao em vigor.
8.15. Uso das Redes Sociais
8.15.1. O uso das Redes Sociais disponveis na rede mundial de computadores (Internet), com o
objetivo de prestar atendimento e servios pbicos, divulgando ou compartilhando informaes
do INMETRO, deve ser regido por Normas Internas (NIs) especficas, atendendo s determinaes
desta PoSIC, e demais orientaes governamentais e legislao em vigor.
8.16. Uso de Dispositivos Mveis
8.16.1. As diretrizes gerais de uso de dispositivos mveis para acesso s informaes, sistemas,
aplicaes e e-mail do INMETRO, devem considerar, prioritariamente, os requisitos legais e a
estrutura da Instituio, atendendo a esta Poltica de Segurana da Informao e Comunicaes e
regidas por Normas Internas (NIs) especficas, a qual contemplar recomendaes sobre o uso
desses dispositivos.
8.17. Uso de Computao em Nuvem
8.17.1. O uso de recursos de Computao em Nuvem para suprir demandas de transferncia e
armazenamento de documentos, processamento de dados, aplicaes, sistemas e demais
tecnologias da informao, deve ser regido por Normas Internas (NIs) especficas, atendendo
determinaes desta PoSIC e demais orientaes governamentais e legislao em vigor, visando
garantir a disponibilidade, a integridade, a confidencialidade e a autenticidade das informaes
hospedadas na nuvem, em especial aquelas sob custdia e gerenciamento de um prestador de
servio.
9. Penalidades
9.1. O descumprimento ou violao, pelo usurio, das regras previstas na Poltica de Segurana
da Informao e Comunicaes (PoSIC) poder resultar na aplicao das sanes previstas
em regulamentaes internas e legislao em vigor.
9.2. O usurio responder disciplinarmente e/ou civilmente pelo prejuzo que vier a ocasionar ao
INMETRO, podendo culminar com o seu desligamento e eventuais processos criminais, se
aplicveis.
18/21
PoSIC 2015
10. Competncias e Responsabilidades

10.1. O INMETRO dever criar e manter um Comit de Segurana da Informao e Comunicaes
(COSIC) competente para:
a) Assessorar na implementao das aes de SIC;
b) Constituir grupos de trabalho para tratar de temas e propor solues especficas sobre SIC;
c) Instituir Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais (ETIR), com a
responsabilidade de receber, analisar e responder notificaes e atividades relacionadas incidentes de
segurana em rede de computadores;
d) Propor alteraes na PoSIC;
e) Propor Normas Internas (NIs).
10.2. No mbito do INMETRO, o Gestor da Poltica de Segurana da Informao e Comunicaes

dever:
a) Promover cultura de SIC;
b) Acompanhar as investigaes e as avaliaes dos danos decorrentes de quebras de segurana;
c) Propor recursos necessrios s aes de SIC;
d) Coordenar o COSIC e a ETIR
e) Realizar e acompanhar estudos de novas tecnologias, quanto a possveis impactos na SIC;
f) Manter contato direto com o DSIC para o trato de assuntos relativos SIC;
g) Propor Normas Internas (NIs);
h) Fornecer o suporte administrativo necessrio gesto da PoSIC.
10.3. O usurio responsvel pela segurana dos ativos e processos que estejam sob sua
responsabilidade e por todos os atos executados com suas identificaes, tais como: crach,
token, login, senha eletrnica, certificado digital e endereo de correio eletrnico.
10.4. Independentemente da adoo de outras medidas, o titular da unidade administrativa
dever, de imediato, comunicar todo incidente de SIC que ocorra no mbito de suas atividades ao
COSIC, mediante o envio de relatrio circunstanciado.
19/21
PoSIC 2015
10.5. No caso de incidente de SIC, o comunicado deve ser feito ETIR do INMETRO.
10.6. dever do usurio do INMETRO conhecer e zelar pelo cumprimento desta Poltica de
Segurana da Informao e Comunicaes.
10.7. Quando for o caso, o titular da unidade administrativa do INMETRO providenciar
autorizao relativa concesso de acessos sobre as informaes de terceiros.
10.8. Para a cesso de informao do INMETRO a terceiros, o titular da unidade administrativa,
ouvida a rea jurdica do INMETRO, providenciar a documentao formal relativa a essa cesso.
10.9. Todos os usurios do INMETRO so responsveis pelas aes de SIC, observando de forma
especfica as atribuies pertinentes a cada cargo e /ou funo.
10.10. Os casos omissos e as dvidas surgidas na aplicao desta PoSIC sero analisados, dirimidos
ou solucionados pelo COSIC.
11. Divulgao e Conscientizao

11.1. A divulgao das regras e orientaes de segurana aplicadas aos usurios deve ser objeto
de campanhas internas permanentes, disponibilizao integral e contnua na Intranet, seminrios
de conscientizao e quaisquer outros meios, como forma de ser criada uma cultura de segurana
dentro do INMETRO.
11.2. Cabe ao Gestor de Segurana da Informao e Comunicaes providenciar a divulgao
interna desta PoSIC e das Normas Internas (NIs), inclusive com publicao permanente na pgina
da intranet do INMETRO, para que seu contedo possa ser consultado a qualquer momento e
desenvolver processo permanente de divulgao, sensibilizao, conscientizao e capacitao
dos usurios sobre os cuidados e deveres relacionados SIC.
12.
Atualizao
12.1. A SIC, seja ela digital ou fsica, tema de permanente acompanhamento e

aperfeioamento, devendo ser constantemente revista e atualizada, visando melhoria contnua
da qualidade dos processos internos.
12.2. Os instrumentos normativos gerados a partir desta PoSIC devero ser revisados sempre
que se fizer necessrio, em funo de alteraes na legislao pertinente ou de diretrizes polticas
do Governo Federal, ou conforme os seguintes critrios:
20/21
PoSIC 2015
12.2.1. Poltica de Segurana da Informao e Comunicaes (PoSIC):

a) Nvel de Aprovao: Secretaria Executiva (SE)
b) Periodicidade de Reviso: Anual
12.2.2. Normas Internas (NIs):

a) Nvel de Aprovao: Comit de Segurana da Informao e Comunicaes (COSIC)
b) Periodicidade de Reviso: anual
12.3. As unidades do INMETRO tero prazo de 90 (noventa) dias, a contar da publicao desta
PoSIC, para submeterem ao Comit de Segurana da Informao e Comunicaes (COSIC),
proposta de atualizao desta PoSIC.
13. Principais Siglas

Sigla Significado
ABNT Associao Brasileira de Normas Tcnicas
COSIC Comit da Segurana da Informao e Comunicaes
DSIC Departamento de Segurana da Informao e Comunicaes da Presidncia da Repblica
ETIR Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais
GECON Gesto de Continuidade de Negcios em Segurana da Informao e Comunicaes
GESIC Gesto de Segurana da Informao e Comunicaes
GETIR Gesto de Tratamento de Incidentes de Segurana em Redes de Computadores
GRSIC Gesto de Riscos de Segurana da Informao e Comunicaes
GSI/PR Gabinete de Segurana Institucional da Presidncia da Repblica
IEC International Electrotechnical Commission
ISO International Organization for Standardization
NBR Norma Brasileira
NIG Norma Interna Geral
PoSIC Poltica de Segurana da Informao e Comunicaes
SIC Segurana da Informao e Comunicaes
SISP Sistema de Administrao dos Recursos de Informao e Informtica
TI Tecnologia da Informao
21/21

Posic Inmetro 2015

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Posic Inmetro 2015

Enviado por

Direitos autorais:

Formatos disponíveis

PoSIC 2015

Poltica de Segurana da Informao e Comunicaes

Poltica de Segurana da Informao e Comunicaes

Poltica de Segurana da Informao e Comunicaes - PoSIC

Abrangncia e vigncia .............................................................................................................................. 4

Conceitos e Definies .............................................................................................................................. 5

Referncias Legais e Normativas ............................................................................................................... 7

Diretrizes de Segurana ........................................................................................................................... 11

Diretrizes Especficas ............................................................................................................................... 12

Competncias e Responsabilidades .................................................................................................... 18

INMETRO, com vistas a prover apoio para implementao da Gesto de Segurana da

n) Vulnerabilidade: Qualquer fragilidade dos sistemas computacionais e redes de computadores que

5. Referncias Legais e Normativas

Decreto n 4.553, de 27 de dezembro de 2002, que dispe sobre a salvaguarda de dados,

Decreto n 5.482, de 30 de junho de 2005, que dispe sobre a divulgao de dados e

Gesto de Segurana da Informao e Comunicaes.

diretrizes para Gesto de Continuidade de Negcios, nos aspectos relacionados Segurana

(APF), direta e indireta, publicada no DOU N 30 - Seo 1, de 10 de fevereiro de 2012.

criptografia da informao classificada no mbito do Poder Executivo Federal. (Publicada no

01 (uma) vez por ano, ou tempestivamente, em funo de inventrios de ativos, de

Plano de Gerenciamento de Incidentes, de acordo com o grau de probabilidade de

situaes inesperadas, desastres, falhas de segurana, entre outras, at que se retorne

8.9. Auditoria e Conformidade

certificar-se do cumprimento das normas e processos institudos pela alta administrao.

8.13. Uso de e-mail

8.14. Acesso a Internet

10. Competncias e Responsabilidades

10.2. No mbito do INMETRO, o Gestor da Poltica de Segurana da Informao e Comunicaes

11. Divulgao e Conscientizao

12.1. A SIC, seja ela digital ou fsica, tema de permanente acompanhamento e

12.2.1. Poltica de Segurana da Informao e Comunicaes (PoSIC):

12.2.2. Normas Internas (NIs):

13. Principais Siglas

Você também pode gostar