POLÍTICA DE SEGURANÇA DA

INFORMAÇÃO E COMUNICAÇÕES

CAMPO DE APLICAÇÃO
Esta Política aplica-se a todos os membros, servidores, estagiários, colaboradores e
terceirizados que, oficialmente, executem atividade vinculada à atuação institucional da AGU.

SUMÁRIO
...................................................................................................................................................... 1
CAMPO DE APLICAÇÃO .................................................................................................. 1
SUMÁRIO ............................................................................................................................ 1
1 ESCOPO ............................................................................................................................... 2
2 CONCEITOS E DEFINIÇÕES ............................................................................................ 2
3 REFERÊNCIAS LEGAIS E NORMATIVAS ..................................................................... 6
4 PRINCÍPIOS......................................................................................................................... 8
5 DIRETRIZES GERAIS ........................................................................................................ 9
6 COMPETÊNCIAS E RESPONSABILIDADES ................................................................ 14
7 PENALIDADES ................................................................................................................. 16
8 ATUALIZAÇÃO ................................................................................................................ 16
9 DISPOSIÇÕES FINAIS ..................................................................................................... 17
10 NORMAS COMPLEMENTARES .................................................................................... 17
1 ESCOPO

A Política de Segurança da Informação e Comunicações (POSIC) tem por objetivo instituir

princípios e diretrizes de Segurança da Informação e Comunicações (SIC) no âmbito da estrutura
regimental da Advocacia-Geral da União (AGU), com o propósito de estabelecer mecanismos e
controles para a efetiva proteção das informações produzidas e custodiadas pela instituição, contra
ataques, ameaças e vulnerabilidades, visando limitar a níveis aceitáveis a exposição ao risco e
assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações e
comunicações que suportam os objetivos estratégicos da AGU.

Esta política aplica-se a todos os membros, servidores, estagiários, colaboradores e

terceirizados que, oficialmente, executem atividade vinculada à atuação institucional deste órgão,
e possuam acesso a informações corporativas.

Os princípios e diretrizes gerais desta POSIC também se aplicam às entidades vinculadas à

AGU, e a quaisquer relacionamentos com outros órgãos e entidades públicas ou privadas.

2 CONCEITOS E DEFINIÇÕES

Para os efeitos desta Política são estabelecidos os seguintes conceitos e definições:

2.1 Acesso: ato de ingressar, transitar, conhecer ou consultar a informação, bem como a
possibilidade de usar os ativos de informação de um órgão ou entidade.
2.2 Alvo: qualquer ativo de informação que possa ser objeto de um ataque;
2.3 Agente responsável pela ETIR: Servidor Público ocupante de cargo efetivo ou militar de
carreira de órgão ou entidade da Administração Pública Federal, direta ou indireta incumbido
de chefiar e gerenciar e Equipe de Tratamento e Resposta a Incidentes em Redes
Computacionais;
2.4 Ameaça: conjunto de fatores externos ou causa potencial de um incidente indesejado, que
pode resultar em dano para um sistema ou organização;
2.5 Análise de riscos: uso sistemático de informações para identificar fontes e estimar o risco;
2.6 Ativos da Informação: os meios de armazenamento, transmissão e processamento, os
sistemas de informação, bem como os locais onde se encontram esses meios e as pessoas que
a eles têm acesso;
2.7 Auditoria: processo de exame cuidadoso e sistemático das atividades desenvolvidas, cujo
objetivo é averiguar se elas estão de acordo com as disposições planejadas e estabelecidas
previamente, se forem implementadas com eficácia e se estão adequadas (em conformidade)
à consecução dos objetivos;
2.8 Autenticação: processo de identificação das partes envolvidas em um processo;

2.9 Autenticação de multifatores: utilização de dois ou mais fatores de autenticação para

concessão de acesso a um sistema. Os fatores de autenticação se dividem em: algo que o
usuário conhece (senhas, frases de segurança, PIN, dentre outros); algo que o usuário possui
(certificado digital, tokens, códigos enviados por SMS e similares) ou algo que o usuário é

2
 (aferível por meios biométricos, tais como digitais, padrões de retina, reconhecimento facial,
dentre outros);
2.10 Autenticidade: propriedade de que a informação foi produzida, expedida, modificada ou
destruída por uma determinada pessoa física, ou por um determinado sistema, órgão ou
entidade;
2.11 Avaliação de Conformidade em Segurança da Informação e Comunicações: exame
sistemático do grau de atendimento dos requisitos à SIC com as legislações específicas;
2.12 Avaliação de riscos: processo de comparar o risco estimado com critérios de risco
predefinidos para determinar a importância do risco;
2.13 Biometria: é a verificação da identidade de um indivíduo por meio de uma característica
física ou comportamental única, utilizando métodos automatizados;
2.14 Bloqueio de acesso: processo que tem por finalidade suspender temporariamente o acesso;
2.15 Capacitação: atividade de ensino que tem como objetivo orientar sobre o que é SIC, fazendo
com que os participantes saibam aplicar os conhecimentos em sua rotina pessoal e
profissional, além de servirem como multiplicadores sobre o tema, estando aptos para
atuarem em suas organizações como Gestores de SIC;
2.16 Comitê de Segurança da Informação e Comunicações: grupo de pessoas com a
responsabilidade de assessorar a implementação das ações de segurança da informação e
comunicação no âmbito do órgão ou entidade da APF;
2.17 Confidencialidade: propriedade de que a informação não esteja disponível ou revelada a
pessoa física, sistema, órgão ou entidade não autorizada e credenciado;
2.18 Contêineres dos ativos de informação: o contêiner é o local onde “vive” o ativo de
informação, onde está armazenado, como é transportado;
2.19 Conformidade em Segurança da Informação: cumprimento das legislações, normas e
procedimentos relacionados à SIC da organização;
2.20 Conscientização: atividade de ensino que tem como objetivo orientar sobre o que é SIC,
fazendo com que os participantes saibam aplicar os conhecimentos em sua rotina pessoal e
profissional, além de servirem como multiplicadores sobre o tema;
2.21 Contingência: descrição de medidas a serem tomadas por uma organização, incluindo a
ativação de processos manuais, para fazer com que seus processos críticos voltem a funcionar
plenamente, ou em um estado minimamente aceitável, o mais rápido possível, evitando assim
uma paralisação prolongada que possa gerar maiores prejuízos à organização;
2.22 Controle de acesso: conjunto de procedimentos, recursos e meios utilizados com a
finalidade de conceder ou bloquear o acesso;
2.23 CTIR GOV: Centro de Tratamento e Resposta a Incidentes de Segurança em Redes de
Computadores da Administração Pública Federal, subordinado ao Departamento de
Segurança de Informação e Comunicações - DSIC do Gabinete de Segurança Institucional
da Presidência da República - GSI;

3
2.24 Custodiante do ativo da informação: refere-se a qualquer indivíduo ou estrutura do órgão
ou entidade da APF que tenha responsabilidade formal de proteger um ou mais ativos de
informação, como é armazenado, transportado e processado, ou seja, é o responsável pelos
contêineres dos ativos de informação. Consequentemente, o custodiante do ativo de
informação é responsável por aplicar os níveis de controles de segurança em conformidade
com as exigências de segurança da informação e comunicações comunicadas pelos
proprietários dos ativos de informação;
2.25 Credenciamento: processo pelo qual o usuário recebe credenciais que concederão o acesso,
incluindo a identificação, a autenticação, o cadastramento de código de identificação e
definição de perfil de acesso em função de autorização prévia e da necessidade de conhecer;
2.26 CTEC: Comitê de Tecnologia da Informação da AGU;
2.27 Disponibilidade: propriedade de que a informação esteja acessível e utilizável sob demanda
por uma pessoa física ou determinado sistema, órgão ou entidade;
2.28 Documento: unidade de registro de informações, qualquer que seja o suporte ou formato;
2.29 Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais (ETIR):
grupo de pessoas com a responsabilidade de receber, analisar e responder às notificações e
atividades relacionadas a incidentes de segurança em computadores;
2.30 Especialização: atividade de ensino que tem como objetivo orientar sobre o que é SIC,
fazendo com que os participantes saibam aplicar os conhecimentos em sua rotina pessoal e
profissional, além de servirem de multiplicadores sobre o tema, estando aptos para atuar em
suas organizações como Gestores de SIC, além de tornarem-se referência na pesquisa de
novas soluções e modelos de SIC;
2.31 Exclusão de acesso: processo que tem por finalidade suspender definitivamente o acesso,
incluindo o cancelamento do código de identificação e do perfil de acesso;
2.32 Gestão de continuidade: processo abrangente de gestão que identifica ameaças potenciais
para uma organização e os possíveis impactos nas operações de negócio, caso essas ameaças
se concretizem. Esse processo fornece uma estrutura para que se desenvolva uma resiliência
organizacional que seja capaz de responder efetivamente e salvaguardar os interesses das
partes interessadas, a reputação e a marca da organização e suas atividades de valor agregado;
2.33 Gestão de Riscos de Segurança da Informação e Comunicações (GRSIC): conjunto de
processos que permitem identificar e implementar controles e medidas de proteção
necessárias para minimizar ou eliminar os riscos a que estão sujeitos os seus ativos de
informação, e equilibrá-los com os custos operacionais e financeiros envolvidos;
2.34 Gestão de Segurança da Informação e Comunicações: ações e métodos que visam à
integração das atividades de gestão de riscos, gestão de continuidade do negócio, tratamento
de incidentes, classificação e tratamento da informação, conformidade, credenciamento,
segurança cibernética, segurança física, segurança lógica, segurança de recursos humanos e
segurança documental aos processos institucionais estratégicos, operacionais e táticos, não
se limitando, portanto, à tecnologia da informação e comunicações;
2.35 Gestor de Segurança da Informação e Comunicações: é o responsável pelas ações de SIC
no âmbito do órgão ou entidade da APF;

4
2.36 Incidente de segurança: é qualquer evento adverso, confirmado ou sob suspeita,
relacionado à segurança dos ativos de informação;
2.37 Informação: dados processados, organizados, que podem ser utilizados para produção e
transmissão de conhecimento, contidos em qualquer meio, suporte ou formato;
2.38 Informação classificada em grau de sigilo: informação sigilosa em poder dos órgãos e
entidades públicas, observado o seu teor e em razão de sua imprescindibilidade à segurança
da sociedade ou do Estado, a qual é classificada como ultrassecreta, secreta ou reservada;
2.39 Informação pessoal: informação relacionada à pessoa natural identificada ou identificável,
relativa à intimidade, vida privada, honra e imagem;
2.40 Informação sigilosa: informação submetida temporariamente à restrição de acesso público
em razão de sua imprescindibilidade para a segurança da sociedade e do Estado, e aquelas
abrangidas pelas demais hipóteses legais de sigilo;
2.41 Infraestrutura Crítica da Informação: são os meios de armazenamento, transmissão e
processamento, sistemas de informação, bem como os locais onde se encontram esses meios
e as pessoas que a eles têm acesso, que afetam diretamente a consecução e a continuidade da
missão do Estado e a segurança da sociedade;
2.42 Integridade: propriedade de que a informação não foi modificada ou destruída de maneira
não autorizada ou acidental;
2.43 Política de Segurança da Informação e Comunicações (POSIC): documento aprovado
pela autoridade responsável do órgão ou entidade da APF, com o objetivo de fornecer
diretrizes, critérios e suporte administrativo suficientes à implantação da SIC;
2.44 Quebra de segurança: ação ou omissão, intencional ou acidental, que resulta no
comprometimento da SIC;
2.45 Recursos criptográficos: sistema, programa, processo, equipamento isolado ou em rede que
utilizam algoritmo simétrico ou assimétrico para realizar a cifração ou decifração;
2.46 Riscos de Segurança da Informação e Comunicações: potencial associado à exploração
de uma ou mais vulnerabilidades de um ativo de informação ou de um conjunto de tais ativos,
por parte de uma ou mais ameaças, com impacto negativo no negócio da instituição;
2.47 Sistema de Proteção Física: sistema composto por pessoas, equipamentos e procedimentos
para a proteção de ativos contra danos, roubo sabotagem e outros prejuízos causados por
ações humanas não autorizadas, conforme gestão de segurança física e ambiental;
2.48 Sistema Estruturante: sistema com suporte de tecnologia da informação fundamental e
imprescindível para planejamento, coordenação, execução, descentralização, delegação de
competência, controle ou auditoria das ações do Estado, além de outras atividades auxiliares,
desde que comum a dois ou mais órgãos da Administração e que necessitem de coordenação
central;
2.49 Segurança da Informação e Comunicações: ações que objetivam viabilizar e assegurar a
disponibilidade, a integridade, a confidencialidade e a autenticidade das informações;

5
2.50 Segurança Cibernética (SegCiber): a arte de assegurar a existência e a continuidade da
Sociedade da Informação de uma Nação, garantindo e protegendo, no Espaço Cibernético,
seus ativos de informação e suas infraestruturas críticas;
2.51 Tratamento de incidentes de segurança em redes computacionais: é o serviço que
consiste em receber filtrar, classificar e responder às solicitações e alertas e realizar as
análises dos incidentes de segurança, procurando extrair informações que permitam impedir
a continuidade da ação maliciosa e também a identificação de tendências;
2.52 Tratamento da informação: conjunto de ações referentes à produção, recepção,
classificação, utilização, acesso, reprodução, transporte, transmissão, distribuição,
arquivamento, armazenamento, eliminação, avaliação, destinação ou controle de informação
classificada em qualquer grau de sigilo;
2.53 Valor do ativo da informação: valor, tangível e intangível, que reflete a importância do
ativo da informação para o alcance dos objetivos estratégicos de um órgão ou entidade da
APF, quanto o quão cada ativo de informação é imprescindível aos interesses da sociedade
e do Estado;
2.54 Vulnerabilidade: conjunto de fatores internos ou causa potencial de um incidente
indesejado, que podem resultar em risco para um sistema ou organização, os quais podem
ser evitados por uma ação interna de segurança da informação;
3 REFERÊNCIAS LEGAIS E NORMATIVAS

A POSIC possui como fundamentos as seguintes referências legais, normativas e técnicas:

3.1 Lei n° 12527, de 18 de novembro de 2011 – Lei de acesso a informação;

3.2 Decreto nº 7.724 de 16/05/2012, que regulamenta a Lei n° 12.527, de 18/11/2011 – Dispõe
sobre o acesso a informações;
3.3 Decreto nº 7.845 de 14/11/2012, que regulamenta procedimentos para credenciamento de
segurança e tratamento de informação classificada em qualquer grau de sigilo, e dispõe sobre
o Núcleo de Segurança e Credenciamento;
3.4 Decreto nº 3.505, de 13 de junho de 2000, que institui a Política de Segurança da Informação
nos órgãos e entidades da Administração Pública Federal;
3.5 Instrução Normativa GSI n° 1, que disciplina a Gestão de Segurança da Informação e
Comunicações na Administração Pública Federal;
3.6 Instrução Normativa GSI n° 2, que dispõe sobre o Credenciamento de segurança para o
tratamento de informação classificada, em qualquer grau de sigilo, no âmbito do Poder
Executivo Federal;
3.7 Instrução Normativa GSI n° 3, que dispõe sobre os parâmetros e padrões mínimos dos
recursos criptográficos baseados em algoritmos de Estado para criptografia da informação
classificada no âmbito do Poder Executivo Federal;
3.8 Norma Complementar nº 01/IN02/NSC/GSIPR, e seus anexos (Anexo A e Anexo B)
Disciplina o Credenciamento de Segurança de Pessoas Naturais, Órgãos e Entidades Públicas
e Privadas para o Tratamento de Informações Classificadas;

6
3.9 Norma Complementar nº 01/IN01/DSIC/GSIPR, estabelece os critérios e as atividades de
normatização;
3.10 Norma Complementar nº 02/IN01/DSIC/GSIPR, define a Metodologia de Gestão de
Segurança da Informação e Comunicações.
3.11 Norma Complementar nº 03/IN01/DSIC/GSIPR, estabelece diretrizes para a Elaboração de
Política de Segurança da Informação e Comunicações nos órgãos e entidades da
Administração Pública Federal;
3.12 Norma Complementar nº 04/IN01/DSIC/GSIPR (revisão 1), e seu anexo, estabelece
diretrizes para o processo de Gestão de Riscos de Segurança da Informação e Comunicações
- GRSIC nos órgãos e entidades da Administração Pública Federal;
3.13 Norma Complementar nº 05/IN01/DSIC/GSIPR, e seu anexo, disciplina a criação de Equipes
de Tratamento e Respostas a Incidentes em Redes Computacionais - ETIR nos órgãos e
entidades da Administração Pública Federal;
3.14 Norma Complementar nº 06/IN01/DSIC/GSIPR, estabelece diretrizes para Gestão de
Continuidade de Negócios, nos aspectos relacionados à Segurança da Informação e
Comunicações, nos órgãos e entidades da Administração Pública Federal, direta e indireta;
3.15 Norma Complementar nº 07/IN01/DSIC/GSIPR, estabelece as diretrizes para
Implementação de Controles de Acesso Relativos à Segurança da Informação e
Comunicações, nos órgãos e entidades da Administração Pública Federal, direta e indireta;
3.16 Norma Complementar nº 08/IN01/DSIC/GSIPR, estabelece as Diretrizes para
Gerenciamento de Incidentes em Redes Computacionais nos órgãos e entidades da
Administração Pública Federal, direta e indireta;
3.17 Norma Complementar nº 09/IN01/DSIC/GSIPR, estabelece orientações específicas para o
uso de recursos criptográficos como ferramenta de controle de acesso em Segurança da
Informação e Comunicações, nos órgãos ou entidades da Administração Pública Federal,
direta e indireta;
3.18 Norma Complementar nº 10/IN01/DSIC/GSIPR, estabelece diretrizes para o processo de
Inventário e Mapeamento de Ativos de Informação, para apoiar a Segurança da Informação
e Comunicações, dos órgãos e entidades da Administração Pública Federal, direta e indireta;
3.19 Norma Complementar nº 11/IN01/DSIC/GSIPR, estabelece diretrizes para avaliação de
conformidade nos aspectos relativos à Segurança da Informação e Comunicações nos órgãos
ou entidades da Administração Pública Federal, direta e indireta;
3.20 Norma Complementar nº 12/IN01/DSIC/GSIPR, estabelece diretrizes e orientações básicas
para o uso de dispositivos móveis nos aspectos referentes à Segurança da Informação e
Comunicações nos órgãos e entidades da Administração Pública Federal, direta e indireta;
3.21 Norma Complementar nº 13/IN01/DSIC/GSIPR, estabelece diretrizes para a Gestão de
Mudanças nos aspectos relativos à Segurança da Informação e Comunicações nos órgãos e
entidades da Administração Pública Federal, direta e indireta;
3.22 Norma Complementar nº 14/IN01/DSIC/GSIPR, estabelece diretrizes para a utilização de
tecnologias de Computação em Nuvem, nos aspectos relacionados à Segurança da

7
 Informação e Comunicações, nos órgãos e entidades da Administração Pública Federal,
direta e indireta;
3.23 Norma Complementar nº 15/IN01/DSIC/GSIPR, estabelece diretrizes de Segurança da
Informação e Comunicações para o uso de redes sociais, nos órgãos e entidades da
Administração Pública Federal, direta e indireta;
3.24 Norma Complementar nº 16/IN01/DSIC/GSIPR, estabelece as diretrizes para o
Desenvolvimento e Obtenção de Software Seguro nos órgãos e Entidades da Administração
Pública Federal, direta e indireta;
3.25 Norma Complementar nº 17/IN01/DSIC/GSIPR, estabelece as diretrizes nos contextos de
atuação e adequações para profissionais da área de Segurança da Informação e
Comunicações nos órgãos e entidades da Administração Pública Federal, direta e indireta;
3.26 Norma Complementar nº 18/IN01/DSIC/GSIPR, estabelece as diretrizes para as atividades
de ensino em Segurança da Informação e Comunicações nos órgãos e entidades da
Administração Pública Federal, direta e indireta;
3.27 Norma Complementar nº 19/IN01/DSIC/GSIPR, estabelece padrões mínimos para a
segurança da informação e comunicações dos sistemas estruturantes nos órgãos e entidades
da Administração Pública Federal, direta e indireta;
3.28 Norma Complementar nº 20/IN01/DSIC/GSIPR, estabelece diretrizes de Segurança da
Informação e Comunicações para instituição do processo de tratamento da informação,
envolvendo todas as etapas do ciclo de vida da informação, no âmbito da Administração
Pública Federal, direta e indireta;
3.29 Norma Complementar nº 21/IN01/DSIC/GSIPR, estabelece diretrizes para o registro, coleta
e preservação de evidências de incidentes de segurança em redes computacionais dos órgãos
e entidades da Administração Pública Federal, direta e indireta;
3.30 Portaria nº 529 da AGU de 2016;
3.31 Cartilha de Segurança para Internet, desenvolvida pelo CERT.br, mantido pelo NIC.br, com
inteiro teor em http://cartilha.cert.br/;
3.32 Estratégia de Segurança da Informação e Comunicações e de Segurança Cibernética da
Administração Pública Federal – 2015-2018 – DSIC/GSIPR.
3.33 Guia Básico de Orientações ao Gestor em Segurança da Informação e Comunicações –2015
– DSIC/GSIPR.
4 PRINCÍPIOS

A segurança da informação e comunicações na AGU alinha-se às estratégias organizacionais

e tem como princípios:

4.1 Proteger os dados, informações e conhecimentos produzidos na AGU, tanto as informações

não classificadas, como as classificadas e as sigilosas;
4.2 Garantir a disponibilidade, integridade, confidencialidade e autenticidade das informações;

8
4.3 Assegurar a transparência das informações públicas, e a proteção adequada daquelas com
restrição de acesso;
4.4 Assegurar que todos os eventos e sistemas computacionais sejam rastreáveis desde o seu
início até a sua finalização;
4.5 Assegurar a segregação de atribuições, por meio de ações de controle segregadas, visando
atender aos objetivos institucionais e reduzir oportunidade de modificação, mal-uso, não
autorizado ou não intencional dos ativos de informação;
4.6 Ser dinâmica e resiliente;
4.7 Ser adaptável à realidade orçamentária em vigor;
4.8 Ser parte integrante dos processos organizacionais;
4.9 Estar integrada ao planejamento estratégico, tático e operacional, à gestão e à cultura
organizacional da instituição;
4.10 Orientar a tomada de decisões institucionais que visem à efetividade das ações de SIC;
4.11 Obedecer aos princípios constitucionais, administrativos e do arcabouço legislativo vigente
que regem a APF; e
4.12 Prezar pelas conformidades legal e normativa dos procedimentos relacionados à SIC.
5 DIRETRIZES GERAIS

5.1 São diretrizes gerais da POSIC:

5.1.1 A Gestão de SIC deverá ser integrada e suportada pelos subsídios gerados pelo tratamento
da informação, do controle dos ativos de informação, do tratamento dos incidentes de SIC,
da gestão de riscos, do sistema de gestão de continuidade do negócio, da auditoria e
conformidade, da gestão em segurança de pessoas, da segurança física, da segurança lógica,
controle de acesso e investimentos em SIC;
5.1.2 A Gestão de SIC deverá suportar a tomada de decisões, bem como realizar a gestão do
conhecimento e de recursos por meio da utilização eficiente e eficaz dos ativos de
informação, visando atender aos objetivos estratégicos da AGU;
5.1.3 A Gestão de SIC deverá otimizar os investimentos em SIC, como também considerar os
custos associados à gestão com os custos dos ativos que se deseja proteger;
5.1.4 Deverá ser estabelecida a integração, a cooperação, a participação e o apoio das instâncias e
estruturas de supervisão, coordenação e execução definidas nesta POSIC, visando atender as
ações de SIC; e
5.1.5 As normas, procedimentos, manuais e metodologias de SIC deverão considerar os padrões
aceitos no mercado como referência nos processos de gestão e governança de SIC.

5.2 São diretrizes específicas da POSIC:

As diretrizes específicas devem orientar a elaboração de normas específicas, manuais e
procedimentos.

9
5.2.1 Do tratamento da informação:
5.2.1.1 Toda informação institucional no âmbito da AGU é patrimônio do Estado brasileiro
e deve ser gerida adequadamente com o objetivo de garantir a sua disponibilidade,
integridade, confidencialidade e autenticidade, independente do meio de suporte,
armazenamento, processamento ou transmissão que esteja sendo utilizado;
5.2.1.2 O tratamento das informações pessoais deve ser feito com respeito à privacidade, à
inviolabilidade da sua intimidade, honra e imagem das pessoas, bem como às
liberdades e garantias individuais; e
5.2.1.3 A proteção dos dados, informações e conhecimento deve ser gerida conforme o seu
valor, sensibilidade e criticidade, para tanto, deve estar em conformidade com os
normativos para a classificação da informação.
5.2.2 Da classificação da informação:
5.2.2.1 As informações da AGU são passíveis de classificação se consideradas
imprescindíveis à segurança da sociedade e do Estado;
5.2.2.2 A decisão de classificação, desclassificação, reclassificação ou redução do prazo de
sigilo de informação classificada em qualquer grau de sigilo observará os
procedimentos previstos nos arts. 31 e 32 do Decreto nº 7.724, de 16 de maio de 2012,
e deverá ser formalizada em decisão consubstanciada em Termo de Classificação de
Informação; e
5.2.2.3 O acesso, a divulgação e o tratamento de informação classificada ficarão restritos a
pessoas com necessidade de conhecê-la e que sejam credenciadas na forma
estabelecida no Decreto nº 7.845, de 14 de novembro de 2012, e nas normas
complementares do GSI, sem prejuízo das atribuições dos agentes públicos
autorizados na legislação.
5.2.3 Do controle dos ativos de informação:
5.2.3.1 A gestão dos ativos de informação deve assegurar que esses ativos:
i. sejam inventariados e protegidos;
ii. tenham entrada e saída nas dependências da AGU autorizadas e registradas por
autoridade competente;
iii. sejam passíveis de monitoramento, garantindo a rastreabilidade de seu uso;
iv. sejam investigados, por meio de mecanismos de rastreabilidade, quando houver
indícios de quebra de segurança e comprometimento da disponibilidade,
integridade, confidencialidade e autenticidade das informações;
v. tenham identificado os seus custodiantes responsáveis;
vi. sejam utilizados estritamente dentro do seu propósito, sendo vedado seu uso para
fins particulares ou de terceiros, entretenimento, veiculação de opiniões político-
partidárias, religiosas, discriminatórias e afins, observando a legislação em vigor;
vii. quando se tratarem de dispositivos portáteis, tenham registrada sua cessão;

10
 viii. é vedado o uso de softwares particulares e não homologados pela Diretoria de
Tecnologia da Informação (DTI), no ambiente computacional da AGU; e
ix. ocorrências como extravio ou roubo devem ser imediatamente comunicadas ao
setor responsável, para que sejam registradas como incidente de SIC, sem prejuízo
das demais providências necessárias.
5.2.3.2 A preservação da disponibilidade, integridade, confidencialidade e autenticidade dos
dados, informações e conhecimentos compõem o acervo informacional da instituição.
5.2.4 Do tratamento de incidentes de SIC:
5.2.4.1 A gestão de incidentes de SIC tem por objetivo assegurar que fragilidades e incidentes
sejam identificados tempestivamente, para permitir a tomada de ação corretiva em
tempo hábil;
5.2.4.2 Os procedimentos para gestão de incidentes em SIC são dispostos em normativo
específico;
5.2.4.3 Os incidentes de SIC devem ser registrados e analisados periodicamente, servindo de
subsídio para melhorias nos procedimentos de segurança e para verificar falhas dos
controles de segurança vigente; e
5.2.4.4 O CTEC deve ser informado, mensalmente, sobre incidentes de SIC por meio de
relatórios de gestão.
5.2.5 Da gestão de risco de SIC:
5.2.5.1 A gestão de SIC deve ser realizada de forma sistemática e contínua e incluir todos os
ativos de informação da AGU, visando tratar os riscos relacionados a disponibilidade,
integridade, confidencialidade e autenticidade;
5.2.5.2 Aplicam-se à SIC, no que couber, os princípios e as diretrizes de Gestão de Riscos
definidos na Política de Gestão de Riscos da AGU;
5.2.5.3 A gestão de riscos de SIC deverá ser operacionalizada por meio de metodologia
específica, que possibilite a identificação, a qualificação, a priorização, o tratamento,
a comunicação periódica dos riscos;
5.2.5.4 Os riscos de SIC deverão ser considerados nas contratações de serviços terceirizados,
de modo que os gestores das unidades administrativas e dos ativos relacionados,
gestores e fiscais de contrato, também os fornecedores e custodiantes tenham a
responsabilidade de manter os níveis adequados de SIC na entrega dos serviços;
5.2.5.5 As unidades administrativas da AGU, deverão implementar e executar as atividades
de gestão de riscos de SIC associadas aos ativos de informação sob sua
responsabilidade, com o apoio da gestão de SIC; e
5.2.5.6 As medidas de proteção devem ser planejadas e os gastos na aplicação de controles
dos riscos devem ser compatíveis com valor do ativo protegido.
5.2.6 Do sistema de gestão de continuidade de negócio:

11
 5.2.6.1 Todos os mecanismos de proteção utilizados para a SIC devem ser mantidos para
preservar de forma segura a continuidade do negócio (regular exercício das funções
institucionais); e
5.2.6.2 A SIC deve auxiliar a manutenção do Sistema de Gestão de Continuidade de
Negócios da AGU, por meio da proteção, da redução da probabilidade de ocorrência
de eventos negativos e seus impactos, como também, na definição de medidas de
controle e recuperação dos seus ativos e processos críticos em situações de incidentes
e interrupção.
5.2.7 Da auditoria e conformidade:
5.2.7.1 O uso dos ativos de informação da AGU deve ser passível de monitoramento e
auditoria, devendo ser implementados e mantidos mecanismos que permitam sua
rastreabilidade, acompanhamento, controle e verificação de acessos a todos os
sistemas institucionais, à rede interna e à internet;
5.2.7.2 Serão passíveis de auditoria todos os registros e procedimentos em logs e trilhas de
auditoria que assegurem o rastreamento, acompanhamento, controle e verificação de
acessos a todos os sistemas institucionais, à rede interna e à internet;
5.2.7.3 O correio eletrônico é um recurso de comunicação institucional da AGU, passível de
auditoria, e a sua utilização deve seguir todas as orientações desta POSIC e das
normas específicas, além das demais diretrizes da APF;
5.2.7.4 As verificações de conformidade serão analisadas e baseadas em políticas, padrões,
normas complementares, ferramentas, manuais de procedimentos e outros
documentos pertinentes, considerando os requisitos mínimos que assegurem a
disponibilidade, integridade, confidencialidade e autenticidade das informações. A
avaliação de conformidade se dará com periodicidade anual, sob a coordenação da
DTI;
5.2.7.5 A execução desta POSIC e suas normas complementares deverá ser submetida a
avaliação periódica de conformidade, realizadas por um grupo de trabalho
formalmente constituído pelo CTEC para verificar o cumprimento dos requisitos de
SIC e garantia de cláusula de responsabilidade e sigilo; e
5.2.7.6 A verificação de conformidade deve também ser realizada nos contratos, convênios,
acordos de cooperação e outros instrumentos do gênero celebrado com a AGU.
5.2.8 Da segurança em gestão de pessoas:
5.2.8.1 O CTEC deverá propor ações de divulgação e conscientização de todos os membros,
servidores, estagiários, colaboradores, terceirizados e visitantes com acesso à AGU
ou aos seus ativos de informação, que abordem os princípios, diretrizes,
procedimentos e responsabilidades relacionadas à SIC;
5.2.8.2 As responsabilidades pela SIC devem ser definidas nas descrições de cargos e
funções, bem como nos termos e condições das contratações que envolvam o
manuseio de dados, informações ou conhecimentos da AGU;
5.2.8.3 Todo ativo informacional produzido pelos membros, servidores, estagiários,
colaboradores e terceirizados da AGU, no exercício de suas atribuições, é patrimônio

12
 intelectual da instituição e não cabe a seus criadores qualquer forma de direito autoral,
ressalvado o reconhecimento da autoria, se for o caso;
5.2.8.4 Todos os usuários devem ser conscientizados nos procedimentos de SIC, por meio de
campanhas ou outros meios hábeis;
5.2.8.5 O controle operacional de uma atividade crítica não pode ser atribuição exclusiva de
uma única pessoa;
5.2.8.6 Quando do afastamento, mudança de responsabilidades e de lotação ou atribuições
dentro da organização faz-se necessária a revisão imediata dos direitos de acesso e
uso dos ativos informacionais;
5.2.8.7 Todos os membros, servidores, estagiários, colaboradores e terceirizados que,
oficialmente, executem atividade vinculada à atuação institucional da AGU, e sejam
usuários de ativos de informação sigilosos, devem ter ciência quanto ao sigilo dos
dados, informações e conhecimentos da AGU;
5.2.8.8 Todos os integrantes das empresas contratadas que exerçam atividades de TI no
âmbito da AGU, devem fornecer aos gestores dos contratos Termo de Ciência quanto
ao sigilo dos dados, devidamente assinado;
5.2.8.9 Os membros, servidores, estagiários, colaboradores e terceirizados devem:
i. ter ciência das ameaças e preocupações relativas à SIC;
ii. ter ciência de suas responsabilidades e obrigações no âmbito desta política; e
iii. difundir e exigir o cumprimento desta POSIC e demais normativos sobre o tema.
5.2.9 Da segurança física:
5.2.9.1 A segurança física patrimonial, disposta em normativo específico, tem por objetivo,
em relação à SIC, prevenir danos e interferências nas instalações da AGU que possam
causar perda, roubo ou comprometimento das informações, em conformidade com a
Política de Gestão de Riscos da instituição;
5.2.9.2 Será assegurada a salvaguarda das instalações e dos demais ativos de informação que
são elaborados, tratados, custodiados, manuseados e as informações sensíveis,
independente do meio em estão armazenados;
5.2.9.3 O ingresso de visitantes com ou sem equipamentos portáteis, deve ser controlado de
forma a impedir o acesso destes às áreas de armazenamento ou processamento de
informações sensíveis, salvo acompanhados, com autorização do responsável; e
5.2.9.4 Todas as pessoas que tiverem acesso às instalações físicas devem portar identificação
visível e, quando couber, nível de autorização de acesso.
5.2.10 Da segurança lógica:
5.2.10.1 A sistematização do controle de acesso à informação, tem por objetivo garantir
que o acesso à informação e aos ativos que a armazenam seja franqueado
exclusivamente a pessoas autorizadas, com base nos requisitos de negócio e de
SIC;

13
 5.2.10.2 O acesso aos computadores, à rede corporativa e aos serviços oferecidos está
condicionado à identificação e autenticação prévia;
5.2.10.3 O acesso a qualquer informação veiculada eletronicamente é passível de
monitoramento com vistas a garantir a rastreabilidade e a auditoria das ações
realizadas.
5.2.11 Do controle de acesso:
5.2.11.1 Devem ser registrados eventos relevantes, previamente definidos, para a segurança
e o rastreamento de acesso às informações;
5.2.11.2 Devem ser criados mecanismos para garantir a exatidão dos registros de auditoria
nos ativos de informação;
5.2.11.3 Os usuários da AGU são responsáveis por todos os atos praticados com suas
identificações, tais como: nome de usuário/senha, crachá, carimbo, correio
eletrônico, tokens e certificado digital;
5.2.11.4 A identificação do usuário, qualquer que seja o meio e a forma, deve ser pessoal e
intransferível, permitindo de maneira clara e inequívoca o seu reconhecimento;
5.2.11.5 A autorização, o acesso e o uso das informações e dos recursos computacionais
devem ser controlados e limitados ao necessário, considerando as atribuições de
cada usuário, e qualquer outra forma de uso ou acesso além do necessário depende
de prévia autorização do gestor da área responsável pela informação;
5.2.11.6 Todos os sistemas de informação da AGU, automatizados ou não, devem ter um
gestor, formalmente designado pela autoridade competente, que deve definir os
privilégios de acesso às informações;
5.2.11.7 O acesso à rede mundial de computadores (internet), no ambiente da AGU deve
seguir as diretrizes desta POSIC, além de ser regido por normas e procedimentos
governamentais e legislação em vigor; e
5.2.11.8 Os usuários serão orientados, de forma regular e periódica, a seguir as boas
práticas de SIC na seleção e uso de senhas.
6 COMPETÊNCIAS E RESPONSABILIDADES

6.1 Estrutura de SIC:

6.1.1 A estrutura de SIC será composta pelo CTEC, CSIC e ETIR, os quais serão solidariamente
responsáveis pelas seguintes atividades:
i. desenvolver, implementar e monitorar estratégias de SIC que atendam aos objetivos
estratégicos da AGU;
ii. avaliar, selecionar, administrar e monitorar controles apropriados de proteção dos ativos
de informação e desenvolver ações de conscientização dos usuários a respeito da
implementação desses controles; e
iii. promover a melhoria contínua nos processos e controles de SIC na AGU.

14
6.2 Compete ao Gabinete do Advogado-Geral da União:
6.2.1 Assegurar que a implementação dos controles de SIC tenha uma coordenação e permeie toda
a organização;
6.2.2 Assegurar os recursos necessários para a implementação das ações de SIC na AGU, em
consonância com a POSIC e as suas Normas Complementares, visando atender os objetivos
estratégicos da instituição; e
6.2.3 Demonstrar o comprometimento formal da alta direção, com os processos de elaboração e
implantação da POSIC e das suas Normas Complementares.

6.3 Compete ao Comitê de Tecnologia da Informação da AGU:

6.3.1 Manifestar-se sobre a POSIC e as suas respectivas Normas Complementares, com posterior
encaminhamento ao Advogado-Geral da União, para aprovação; e
6.3.2 Designar o Comitê de Segurança da Informação e Comunicações, o Gestor de Segurança da
Informação e Comunicações e a Equipe de Tratamento e Resposta a Incidentes em Redes
Computacionais;
6.3.3 Assegurar o alinhamento da POSIC com os objetivos estratégicos da AGU ao arcabouço
legal-normativo ao qual a instituição está subordinada;

6.4 Compete ao Comitê de Segurança da Informação e Comunicações da AGU:

6.4.1 Definir estratégias para a aplicação da POSIC e das suas Normas Complementares nas
unidades da AGU;
6.4.2 Assessorar o CTEC na implementação das ações de SIC;
6.4.3 Definir critérios para auditoria periódica destinada a aferir o cumprimento da POSIC e das
suas Normas Complementares;
6.4.4 Constituir grupos de trabalho para tratar de temas e propor soluções específicas sobre SIC;
6.4.5 Propor alterações na POSIC e nas suas Normas Complementares;
6.4.6 Propor normas e procedimentos relativos à SIC;
6.4.7 Solicitar apurações quando da suspeita de ocorrências de quebras de segurança; e
6.4.8 Dirimir eventuais dúvidas e deliberar sobre assuntos relativos à POSIC e as suas Normas
Complementares.

6.5 Compete ao Gestor de Segurança da Informação e Comunicações da AGU:

6.5.1 Promover a cultura de SIC na instituição;
6.5.2 Acompanhar as investigações e as avaliações dos danos decorrentes de quebras de segurança;
6.5.3 Coordenar o CSIC e a ETIR;
6.5.4 Manter contato direto com o DSIC/GSI/PR para trato de assuntos relativos à SIC; e
6.5.5 Acompanhar a elaboração da POSIC e as suas Normas Complementares relativas à SIC.

15
6.6 Compete aos Dirigentes das Unidades e demais Gestores da AGU:
6.6.1 Conscientizar servidores e quaisquer colaboradores sob sua supervisão em relação aos
conceitos e às práticas de SIC;
6.6.2 Incorporar aos processos de trabalho de sua unidade, ou de sua área, práticas inerentes à SIC;
e
6.6.3 Tomar as medidas administrativas necessárias para que sejam adotadas ações corretivas em
tempo hábil em caso de comprometimento da SIC.

6.7 Compete à Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais:

6.7.1 Facilitar e coordenar as atividades de tratamento e resposta a incidentes de SIC;
6.7.2 Promover a recuperação de sistemas;
6.7.3 Agir proativamente com o objetivo de evitar que ocorram incidentes de SIC, divulgando boas
práticas e recomendações de SIC e avaliando condições de segurança de redes por meio de
verificações de conformidade;
6.7.4 Realizar ações reativas que incluem o recebimento de notificações de incidentes de SIC;
6.7.5 Orientar e coordenar as equipes de tecnologia da informação no reparo a danos, e analisar os
sistemas comprometidos buscando causas, dados e responsáveis;
6.7.6 Analisar ataques e intrusões na rede da AGU;
6.7.7 Executar ações necessárias para tratar quebras de segurança;
6.7.8 Obter informações qualitativas e quantitativas sobre os incidentes de SIC;
6.7.9 Cooperar com outras equipes de tratamento e resposta a incidentes em redes computacionais;
e
6.7.10 Participar de capacitações, fóruns e redes de colaboração relacionados com a SIC.

7 PENALIDADES

7.1 O descumprimento das disposições constantes nesta Política e nas Normas Complementares
sobre SIC sujeita os infratores, isolada ou cumulativamente, a sanções administrativas, civis
e penais, nos termos da legislação pertinente, assegurando aos envolvidos o contraditório e
a ampla defesa; e
7.2 Os casos omissos e as dúvidas surgidas na aplicação desta Política serão submetidos ao
CTEC.
8 ATUALIZAÇÃO

8.1 Todos os instrumentos normativos gerados a partir da POSIC, incluindo a própria POSIC e
as suas Normas Complementares, devem ser revisados sempre que se fizer necessário, não
excedendo o período de 03 (três) anos.

16
9 DISPOSIÇÕES FINAIS
9.1.1 Compete à DTI, com o apoio do Serviço de Segurança da Informação e Comunicações
(SESIC/Coordenação de Infraestrutura Tecnológica e Segurança/Coordenação-Geral de
Sistemas e Serviços de Tecnologia da Informação), da Escola da AGU e demais unidades
inerentes, a instituição de programas pontuais e continuados de conscientização,
sensibilização e capacitação em SIC, bem como realizar a gestão deste conhecimento e
buscar parceiros de outros órgãos e entidades, com o intuito de alcançar os objetivos
estratégicos da instituição, otimizando seus recursos;
9.1.2 As ações de SIC devem considerar, prioritariamente, os objetivos estratégicos da instituição,
os planos institucionais, os requisitos legais, a estrutura e finalidade da instituição;
9.1.3 Deve ser instituída a Equipe de Tratamento e Respostas a Incidentes de Segurança, em norma
específica;
9.1.4 O monitoramento dos ativos de informação e análise de incidentes de SIC são instrumentos
presentes no ambiente computacional da instituição; e
9.1.5 Esta POSIC entra em vigor na data de sua publicação.
10 NORMAS COMPLEMENTARES

As Normas Complementares da AGU, que integram a POSIC, estão dispostas nos seguintes
temas:
NC 01 – Gestão de Riscos de Segurança da Informação e Comunicações – GRSIC –
estabelece diretrizes para o processo de Gestão de Riscos de Segurança da Informação e
Comunicações – GRSIC;
NC 02 – Equipe de Tratamento de Respostas a Incidentes em Redes Computacionais –
disciplina a criação da Equipe de Tratamento e Respostas a Incidentes em Redes Computacionais
– ETIR;
NC 03 – Gestão de continuidade de negócios – estabelece as diretrizes para o processo de
Gestão de Continuidade de Negócios, nos aspectos relacionados à Segurança da Informação e
Comunicações;
NC 04 – Controle de acesso – estabelece diretrizes para implementação de controles de
acesso relativos à Segurança da Informação e Comunicações;
NC 05 – Orientações para uso dos recursos criptográficos – estabelece orientações
específicas para o uso de recursos criptográficos em Segurança da Informação e Comunicações;
NC 06 – Inventário de mapeamento de ativos – estabelece diretrizes para o processo de
Inventário e Mapeamento de Ativos de Informação, para apoiar a Segurança da Informação e
Comunicações;
NC 07 – Conformidade – estabelece diretrizes para avaliação de conformidade nos aspectos
relativos à Segurança da Informação e Comunicações;
NC 08 – Orientações para uso dos dispositivos móveis – estabelece orientações básicas
para o uso de dispositivos móveis nos aspectos referentes à Segurança da Informação e
Comunicações;
17
 NC 09 – Gestão de mudanças – estabelece diretrizes para a Gestão de Mudanças nos
aspectos relativos à Segurança da Informação e Comunicações;
NC 10 – Orientações para o uso de tecnologias de computação em nuvem – estabelece
orientações para a utilização de tecnologias de Computação em Nuvem, nos aspectos relacionados
à Segurança da Informação e das Comunicações;
NC 11 – Orientações para o uso de redes sociais – estabelece orientações para o uso de
Redes Sociais;
NC 12 – Orientações para o desenvolvimento e obtenção de software seguro – estabelece
orientações para o desenvolvimento e obtenção de software Seguro;
NC 13 – Diretrizes para as atividades de ensino em Segurança da Informação e
Comunicações – estabelece as diretrizes para as atividades de ensino em Segurança da Informação
e Comunicações;
NC 14 – Tratamento da informação – estabelece as Diretrizes de Segurança da Informação
e Comunicações para o processo de Tratamento da Informação; e
NC 15 – Diretrizes para o registro de eventos, coleta e preservação de evidências de
incidentes de segurança em redes – estabelece as diretrizes para o registro de Eventos, Coleta e
Preservação de Evidências de Incidentes de Segurança em Redes.

18