RI DLUCAO CONSUN N° 061/13 CONSELHO UNIVERSITARIO Dispde sobre a Politica de Seguranga da Informacao ¢ Comunicagies da Universidade Federal do Piaui (UFPI). © Reitor da Universidade Federal do Piaui e Presidente do Conselho Universitario. no uso de suas atribuigdes, tendo em vista decisto do mesmo Conselho em reunido de 10/12/2013 e, considerando: ~ Processo N° 23111.022652/13-76, -0 disposto no artigo 5*, incisos 1V ¢ VI, da Instrug2o Normativa GSI n° 1, de 13/6/2008, do Gabinete de Seguranga Institucional da Presidéncia da Republica, publicada na segao I do DOU n° 115, de 18/6/2008, RESOLVE: . CAPITULO L . DA POLITICA DE SEGURANGA DA INFORMACAO E COMUNICAGAO Art. 1° Fica estabelecida a Politica de Seguranga da Informagio e Comunicagiio da Universidade Federal do Piaui, também representada pela sigla POSIC/UFPI. contendo as diretrizes de seguranga da informacao e comunicago no ambito desta Instituigao. Paragrafo tinico, As ditcirizes estabelecidas na POSIC/UFPI determinam as bases a serem seguidas pela UFPI no tratamenio da seguranga dos recursos computacionais © informagdes yeradas na Universidade. Art, 2° Entende-se como POSIC/UFPI 0 conjunto de prineipios que norteiam & gestéo de seguranca da informago ¢ que devem ser observados pela comunidade académica ¢ demais usuarios internos ¢ externos, que tiverem interago com os ativos de tecnologia da informagao pertencentes a UEPI. Art, 3" Para fins da execugdo da POSIC/UFPI aplicam-se os seguintes conceitos: I~ Ativo de Informagio ~ qualquer recurso que faga parte dos sistemas de informagio e meios para geragdo de documentos que tenham valor para a UFPI; II - Ativo de Sistema — patriménio compost por todos os dados ¢ informagées geradas e manipuladas durante a execugao de sistemas e processos da UFPI: IIL - Ativo de Processamento — patriménio composto por todos os elementos de hardware, software, servigo, infraestrutura ou instalagdes fisicas necessérios para a execueao de sistemas ¢ processos da UFPI, tanto aqueles produzidos internamente quanto os adquiridos pela universidade: IV ~ Controle de Acesso ~ restrigdes ao acesso as informagdes de um sistema exercido pela geréncia de Seguranga da Informagio da UFPI: V - Custodia —consiste na responsabilidade de se guardar um ativo para terceirosResolugio N° 061/13 — CONSUN / 02 sem, contudo, permitir, automaticamente, o acesso ao ative ou o direito de eonceder acesso a outros; VI - Direito de Accesso ~ privilégio associado a um cargo, pessoa ou proceso para ter avesso a um ative; VII - Ferramentas ~ conjunto de equipamentos, programas. procedimentos. normas ¢ demais recursos por meio dos quais se aplica a Politica de Seguranga da Informagao da UFPT; VIII - Incidente de Seguranga ~ qualquer evento ou ovorréncia que promova uma ou mais apes que comprometa, ou que seja uma ameaca & integridade. autenticidade ou disponibilidade de qualquer ativo da UFPI; IX - Protegdo dos Ativos — processo pelo qual os atives devem receber classificagao quanto ao grau de sensibilidade, sendo que o meio de registro de um ativo de informagao deve receber a mesma classificagdo de protegao dada ao ativo que o contém: X - Responsabilidade — obtigagdes e deveres da pessoa que ocupa determinada fungio em relagdo ao acervo de informagées. CAPITULO I . DOS OBJETIVOS E DA ABRAGENCIA Art. 4” A POSIC/UPPI tem os seguintes objetivos: 1 - definir o escopo da seguranga da informacao da Universidade Federal do Piaui: HT - orientar as agdes de seguranga, para reduzir riseos e garantir a integridade. autenticidade, confidencialidade e disponibilidade dos ativos de tecnologia da informagao da UFPI: IIT permitir a adocao de solugéies de seguranga integradas: IV - servir de referéncia para auditoria, apuragao e avaliagao de responsabilidades. § I? Para os efeitos desta Resolugdo, em conformidade com o disposto no art igo 3° como ativo de tecnologia da informagao qualquer informago que tenhia Valor para entende- @ UPPI, tais como sistemas de informagao, banco de dados, imagens do sistema de seguranga cletrdnica, correspondéncias cletrénicas, contetido de paginas Web, telefonia VoIP. ou qualquer outra informagdio armazenada e transmitida por meio d tre Outros. § 2° As responsabilidades sobre os ativos serfo definidos em normas © procedimentos especificos elaborados pelo Comité de Seguranga da Informagao e suhmetidos A aprovagao do Conselho Universitario (CONSUN), Art. 5° A Politica de Seguranga abrange os seguintes aspectos 1- Requisitos de Seguranga em Recursos Humanos; Requisitos de Seguranga ao Patriménio Fisico ¢ Ambiental: III - Requisitos de Seguranca Logica, Pardgrafo nico. Os requisites de seguranga, dos itens citados neste artigo serdo regulamentados por meio de normas € procedimentos especificos elaborados pelo Comité de Seguranga da Informagao ¢ submetidos a aprovagao do CONSUNResolucao N° 061/13 — CONSUN / 03 CAPITULO I DO GERENCIAMENTO DE RISCOS E INCIDENTES DE SEGURANCA DA INFORMACAQ, Art. 6° Entende-se como gerenciamento de risco o processo que visa & protego cos servigos da UFPI, por meio da eliminagio. redugdo ou transferéneia dos riscos, conforme seje economicamente (¢ estrategicamente) mais vidvel. Os seguintes pontos principais devem ser identificados: 1-0 que deve ser protegido; I1- anilise de riscos (contra quem ou contra 0 qué deve ser protegido) UII - avaliagio de riscos (andlise da relagao custo/beneficio) Art. 7° O processo de gerenciamento de riseos seri instituido e revisto periodicamente pela drea de seguranga da informacao do Niicleo de Tecnologia da Informagao (NTH, para prevengdo contra riscos advindos de novas tecnologias ¢ ameagas externas visando @ elaboragao de planos de agao apropriados para protegao aos ativos ameacados Pardgrafo tinico. Todos os ativos da UFPI deverio ser inventariados. classificados reavaliados periodicamente pelo NT e validados pelo Gestor de Seguranga da Informagao. Art, 8° O NTI apresentari planos de gerenciamento de incidentes ¢ da ago esposta a incidentes, a serem aprovados pelo Comité de Seguranga da Informagio homologados pelo CONSUN. Art. 9° Os incidentes de seguranga da informagdo deverio ser prontamente reportados, de forma sigilosa, as autoridades responséveis e apurados pela Divisio de Seguranga da Informagao do NTL CAPITULO IV DOS DEVERES E DAS RESPONSABILIDADES Art. 10 E dever de todo usuario dos ativos de informagao I - preservar a integridade e guardar sigilo das informagdes de que fazem uso, bem como zelar ¢ proteger os respectivos recursos de tecnologia da informagao (TI) II - cumprir a POSIC/UFPI, sob pena de incorrer nas sangdes disciplinares ¢ leyais cabiveis: IIL - utilizar os Sistemas de Informagdes da UFPI ¢ os recursos a ela relacionados apenas para os fins a que se destinam, sendo vedado seu uso em carater pessoal: IV - cumprir as regras, normas € procedimentos de protegdo estabelecidlos aos atives de intormagao pelo NTI; V - responder por todo e qualquer acesso aos recursos de TI da UFPI, bem como pelos efeitos desses acessos efetivados através do seu cédigo de identificagio ou outro atributo empregado para esse fim: VI- abster-se de utilizar, inspecionar, copiar ou armazenar programas de computador ou qualquer outro material, em violagdo a legislagao de propriedade intelectual pertinente: VII - comunicar ao seu superior imediato qualquer irregularidade ou desvio.Resoluco N” 061/13 ~ CONSUN / 04 Art. 11 Entendem-se como responsabilidades das Chefias as seguintes atividades: 1- gerenciar o cumprimento da POSIC/UEPI, por parte de seus funciondrios: ficar os desvios praticados ¢ adotar as medidas corretivas upropriadas proteger, em nivel fisico e légico, os ativos de informagao © de processamento da UFPI relacionados com sua area de atuagdo: TV - garantir que o pessoal sob sua supervisdo compreenda ¢ colabore para com a protegao dos ativos de informagaio da UFPT; V = solicitar ao NTI ou a unidade gestora do sistema, a concessiio de ace Privilegiado a usuarios sob sua supervisdo que podem ucessar as informagdes da unidade administrativa sob sua responsabilidade, respeitados os limites constitucionais das garantias individuais e coletiva: Pardgrafo nico. Cada area que detém os ativos de processamento e de informagio serd responsiivel por esses ativos, provendo a sua protecdo de acordo com procedimentos previstos na POSIC/UFPI. \s normas © Art. 12 Entendem-se como responsabilidades da Divisto de Seguranga da Informagiio do NTI: I - estabelecer as regras de protegdo dos ativos de informagao da UFPI: AI - adotar, em caso de violagao das regras estabelecidas, as medidas necessarias para restabelecer 0 funcionamento normal de acordo com as Normas ¢ Procedimentos de Seguranga da Informagao da UF! normas ¢ procedimentos de seguranga da informagao da UF IV - elaborar ¢ manter atualizado o Plano de Continuidade de Negocio da UFPI; V- executar as regras de protecdo estabelecidas por esta Politica de Seguranga: VI - detectar, identificar, registrar e comunicar ao NTI ou ao 6rg’o responsavel as violagdes ou tentativas de acesso nao autorizadas: Art. 13 Entendem-se como responsabilidades dos prestadores de servigo toda ¢ qualquer aco prevista em contrato ou cléusulas que contemplem a responsabilidade dos prestadores de servigo no cumprimento da POSIC/UFPI e suas normas ¢ procedimentos. CAPITULO V DAS SANCOES FE PENALIDADES Art. 14 Fica assegurada a garantia individual coletiva dos servidores da UFPI. inviolabilidade da sua intimidade ao sigilo da correpondéncia (inclusive as correpondéncias cleirdnicas) ¢ das comunicagdes nos termos previstos na Constituigao Federal Art. 15 A quem descumprir as normas ¢ procedimentos previstos nesta Resolugao. sero aplicadas as sangdes e penalidades previstas na legisiagao em vigor. em especial noResolugao N° 061/13 — CONSUN / 05 Codigo de Etica do Servidor Pablico Civil do Poder Executive Federal, aprovado pelo Decreto n” 1.117/2004 na Lei n® $.112/1990, que instituiu o Regime Juridico dos Servidores Piiblicos Civis du Unido, das autarquias, inclusive as em regime especial, ¢ das fundagées publicas federai Paragral penalidades previs nico. No ambito dos prestadores de servigo, serio aplicadas as 5 € na legislagao pertinente. CAPITULO VI - DA AUDITORIA F FISCALIZACAO Art, 16 As atividades da UFPI esto associadas ao conceito de confianga e como tal, Tepresentam instrumentos que facilitam a percepeao ¢ transmissao de confianga 4 comunidade de usuarios. Art, 17 Cabe a Divistio de Seguranga da Informagio do NTI responder as diligéncias relativas seguranga da informaco, promovidas por meio de auditoria interna ou externa. bem como responder aos questiondrios enviados anualmente pelo Tribunal de Contas da Unido (TCU) e Comtroladoria Geral da Unido (CGU), CAPITULO VIL DO GERENCIAMENTO DE RISCOS nciamento de riscos de N. Art. 18 As normas e procedimentos para implant TI sero definidos em documento especifico elaborado pelo NTI ew aprovado pelo CONS CAPITULO VIII DO PLANO DE CONTINUIDADE DE NEGOCIO Art. 19 O Plano de Continuidade de Negécio tem como objetivo manter em funcionamento os servigos e processos criticos da UFPI, na eventualidade da ocorréncia de s, atentados, falhas ¢ intempéries. Art. 20 O Plano de Continuidade de Negécio da UFPI sera definido pelo NTI com base na aniilise de riscos, homologado pelo CONSUN CAPITULO 1X DAS DISPOSICOES FINAIS Art. 21 A Politica de Seguranga da UFPI se aplica a todos os seus recursos humanos, administrativos tecnol6gicos e a abrangéncia dos recursos refere-se diqueles ligados a ela em cardter permanente e temporario Art. 22 Esta Resolugdo deverd ser amplamente publicada, divulgada e comunicada. garantindo que todos tenham consciéncia da mesma, para usulruirem dos beneficios © assumirem as responsabilidades inerentes aos sistemas de informagaio da UFPI.Resolugao N° 061/13 ~ CONSUN / 06 Art. 23 Os processos de aquisigéio de bens ¢ servigos relacionados & Tecnol: Informago pela UFPI deverdo estar em conformidade com esta Resolugao, Art, 24 Os casos omissos nesta Resolugio sero resolvidos pelo Comité de Seguranga da Informagio da UFPI, ouvide 0 CONSUN. Art, 25 A presente Resolugdo serd revisada anualmente pelo Comité de Seguranga da Informagao e submetida & aprovagdo do CONSUN. ~ Art, 26 Esta Resolugdo entra em vigor na data de sua aprovagaio pelo CONSUN, revogando-se as disposigdes em contrario. Teresina, 10 de dezembro de 2013 { } Prof.José Arimatéia Dantas Lopes Reitor