Reviso

Emisso

Folha

00

09/NOV/11

1/15

POLTICA DE SEGURANA DA INFORMAO E COMUNICAES DO INSTITUTO FEDERAL DE EDUCAO, CINCIA E TECNOLOGIA DA PARABA
ORIGEM Diretoria de Tecnologia da Informao REFERNCIAS ABNT NBR ISO/IEC 27002:2005 - Tecnologia da Informao - Tcnicas de Segurana Cdigo de Prtica para a Gesto de Segurana da Informao. Lei n 8.112 de 11 de dezembro de 1990 - Regime jurdico dos servidores pblicos civis da Unio, das autarquias e das fundaes pblicas federais. Constituio da Repblica Federativa do Brasil de 1988. Decreto 1.171, de 24 de junho de 1994 - Cdigo de tica Profissional do Servidor Pblico Civil do Poder Executivo Federal, e outras providncias. Decreto n 3.505, de 13 de junho de 2000, que institui a Poltica de Segurana da Informao nos rgos e entidades da Administrao Pblica Federal. Instruo Normativa GSI N 01, de 13 de junho de 2008, que disciplina a Gesto de Segurana da Informao e Comunicaes na Administrao Pblica Federal, direta e indireta e demais normas complementares. Resoluo CUNI N 054, de 5 de julho DE 2011, que dispe sobre a Poltica de Segurana da Informao e Comunicaes da Universidade Federal de Lavras. Resoluo N 18, de 31 de maio de 2010, que normatiza o uso dos recursos de tecnologia da informao e comunicao do IFRO Poltica de Segurana da Informao IFPE - Campus Caruaru, de 31 de maro de 2011. CAMPO DE APLICAO Esta Poltica de Segurana da Informao se aplica no mbito do Instituto Federal de Educao, Cincia e Tecnologia da Paraba (IFPB).

Reviso

Emisso

Folha

00

09/NOV/11

2/15

SUMRIO 1 2 3 4 5 OBJETIVO FUNDAMENTO LEGAL DA POLTICA DE SEGURANA CONCEITOS E DEFINIES POLTICA DE SEGURANA DA INFORMAO E COMUNICAES COMPETNCIAS, RESPONSABILIDADES E ESTRUTURA DA GESTO DE SEGURANA DA INFORMAO 6 DIRETRIZES 7 PENALIDADES 8 DISPOSIES GERAIS 9 ATUALIZAO 10 VIGNCIA INFORMAES ADICIONAIS No h.

APROVAO

JOO BATISTA DE OLIVEIRA SILVA Presidente do Comit Gestor de Tecnologia da Informao

Reviso

Emisso

Folha

00

09/NOV/11 3/15

OBJETIVO

Fornecer diretrizes, responsabilidades, competncias e apoio da alta direo na implementao da gesto de segurana da informao e comunicaes do Instituto Federal de Educao, Cincia e Tecnologia da Paraba (IFPB), buscando assegurar a disponibilidade, integridade e confidencialidade das informaes.

FUNDAMENTO LEGAL DA POLTICA DE SEGURANA

Conforme o decreto n 3.505, de 13 de junho de 2000, que institui a Poltica de Segurana da Informao nos rgos e entidades da Administrao Pblica Federal.

3 3.1

CONCEITOS E DEFINIES Comit Gestor de Tecnologia da Informao (CGTI): comit responsvel por apreciar e aprovar o Plano Estratgico de Tecnologia da Informao (PETI), o Plano Diretor de Tecnologia da Informao (PDTI) e a Poltica de Segurana da Informao e Comunicaes (POSIC) e demais normas a esta ltima relacionadas; analisar e aprovar os investimentos na rea de Tecnologia da Informao e monitorar o estgio dos projetos e o nvel dos servios, recomendando aes para soluo dos problemas de recursos e interesses da area;

3.2

Comit Gestor de Segurana da Informao (CGSI): comit responsvel por elaborar e revisar periodicamente a Poltica de Segurana da Informao e Comunicaes (POSIC) e normas relacionadas, submetendo aprovao do Comit Gestor de Tecnologia da Informao, entre outras competncias;

3.3

Diretoria de Tecnologia da Informao (DTI): rgo executivo da Pr-Reitoria de Desenvolvimento Institucional e Interiorizao (PRODI), que planeja, dirige,
avalia e executa as polticas de tecnologia da informao e comunicao (TIC) em todo o Instituto, em articulao com as Pr-Reitorias e as Direes Gerais dos Campi;

Reviso

Emisso

Folha

00

09/NOV/11 4/15

3.4

Unidade de Ensino (UE): os campi, campi avanados, plos, plos de apoio presencial Educao a Distncia (EaD) e outras estruturas administrativas com atividades pedaggicas que demandem o uso das tecnologias da informao e comunicao;

3.5

Recursos de Tecnologia da Informao e Comunicao (RTIC): os equipamentos, instalaes e recursos de informao direta ou indiretamente administrados, mantidos ou operados nas Unidades de Ensino, tais como: a) equipamentos de informtica e de telecomunicaes de qualquer espcie; b) infraestrutura e materiais de redes lgicas e de telecomunicaes de qualquer espcie; c) laboratrios de informtica de qualquer espcie; e d) recursos de informao eletrnicos, tais como: servios de rede, sistemas de informao, programas de computador, arquivos de configurao que so armazenados, executados e/ou transmitidos por meio da infraestrutura computacional do IFPB, redes ou outros sistemas de informao.

3.6

Sistemas de informao: os sistemas de controle, organizao e planejamento acadmicos e administrativos, bem como seus contedos hospedados e/ou armazenados em mquinas servidoras de responsabilidade da DTI ou NTI/CTI ou em mquinas locais com cpias de segurana em mquinas servidoras de responsabilidade da DTI ou dos ncleos de tecnologia locais. So partes integrantes do sistema de informao os componentes clientes instalados nas mquinas locais;

Reviso

Emisso

Folha

00

09/NOV/11 5/15

3.7

Servios de rede: todos os servios oferecidos aos usurios por meio da infraestrutura de rede interna e externa, tais como: correio eletrnico, websites (pginas individuais e institucionais de contedos para a Internet), aplicaes web (sistemas corporativos acessados via rede), repositrios de arquivos em rede, servidores de bancos de dados individuais e corporativos, sistemas de autenticao de usurios de rede, servios de segurana e monitorao, entre outros; bem como seus contedos (mensagens de correio eletrnico, dados corporativos, documentos, arquivos de configurao) que so hospedados e armazenados em mquinas servidoras de responsabilidade da DTI ou dos ncleos de tecnologia locais;

3.8

Usurio: qualquer pessoa fsica ou jurdica com vnculo oficial com o IFPB ou em condio autorizada que utiliza, de alguma forma, algum recurso de tecnologia da informao e comunicao (RTIC) do IFPB. Os usurios podero ser cadastrados ou no no domnio do IFPB e sero classificados, para fins de acesso aos recursos (RTIC), de acordo com os seguintes perfis:

3.8.1 servidores: qualquer servidor, ativo ou aposentado, com vnculo ao IFPB; 3.8.2 alunos; 3.8.3 outros: a) responsvel por entidade externa que utiliza o domnio do IFPB (procuradoria, grupos de pesquisa, e outros afins); b) entidade representativa de alunos; c) aluno bolsista; d) estagirio externo; e) servidores terceirizados; f) visitante; g) pensionista.

Reviso

Emisso

Folha

00

09/NOV/11 6/15

3.9

Ncleo de Tecnologia da Informao (NTI) ou Coordenao de Tecnologia da Informao (CTI): setor formalmente institudo em uma Unidade de Ensino do IFPB que ficar responsvel pela manuteno local dos recursos (RTIC) e preservao da aplicao das polticas, diretrizes e regulamentaes na rea de informtica e telecomunicaes. Os setores locais participaro com a DTI no desenvolvimento e administrao de sistemas de informao e servios de rede para o campus ao qual esto vinculados ou para todo o IFPB;

3.10 Disponibilidade: propriedade de que a informao esteja acessvel e utilizvel sob demanda por uma pessoa fsica ou determinado sistema, rgo ou entidade. [IN01/DSIC/GSIPR]; 3.11 Confidencialidade: propriedade de que a informao no esteja disponvel ou revelada a pessoa fsica, sistema, rgo ou entidade no autorizado e credenciado. [IN01/DSIC/GSIPR]; 3.12 Integridade: propriedade de que a informao no foi modificada ou destruda de maneira no autorizada ou acidental. [IN01/DSIC/GSIPR]; 3.13 No-repdio: garantia de que o emissor da mensagem no ir negar posteriormente a autoria da mensagem ou transao, permitindo a sua identificao; 3.14 Ativo: qualquer bem, tangvel ou intangvel, que tenha valor para a Instituio; 3.15 Segurana da informao: conjunto de polticas, normas e procedimentos que objetivam o controle de acesso, a preservao da autenticidade, confiabilidade, confidencialidade, disponibilidade, privacidade, integridade dos dados e responsabilidade das informaes e dos recursos de TIC;

Reviso

Emisso

Folha

00

09/NOV/11 7/15

3.16 Poltica de Segurana da Informao e Comunicaes (POSIC): documento aprovado pela autoridade responsvel pelo rgo ou entidade da Administrao Pblica Federal, direta e indireta, com o objetivo de fornecer diretrizes, critrios e suporte administrativo suficientes implementao da segurana da informao e comunicaes. [IN01/DSIC/GSIPR]

POLTICA DE SEGURANA DA INFORMAO E COMUNICAES

A Poltica de Segurana da Informao e Comunicaes do Instituto Federal de Educao, Cincia e Tecnologia da Paraba consiste na normatizao e no disciplinamento de mecanismos que promovam a integridade da estrutura de rede e demais recursos de TIC nos quais trafegam informaes e dados comuns ou restritos, neles includos os equipamentos que armazenam tais informaes. 4.1 A Poltica de Segurana da Informao: a) constituda por um conjunto de diretrizes e normas que estabelecem os princpios de proteo, controle e monitoramento das informaes processadas, armazenadas ou custodiadas pelo IFPB. b) aplicvel a todos os bens e servios e a todo o pessoal que se utiliza dos recursos de Tecnologia da Informao e Comunicao (TIC), no mbito do IFPB. 4.2 A Poltica de Segurana abrange os seguintes aspectos: a) Requisitos de Segurana Lgica; b) Requisitos de Segurana Fsica; c) Requisitos de Segurana em Recursos Humanos; e d) Requisitos de Segurana dos Recursos Criptogrficos. 4.3 Os requisitos de segurana, dos itens citados em 4.2 sero regulamentados por meio de normas e procedimentos especficos elaborados pelo Comit Gestor de Segurana da Informao e avaliados e aprovados pelo Comit Gestor de Tecnologia da Informao.

Reviso

Emisso

Folha

00

09/NOV/11 8/15

5 5.1

COMPETNCIAS, RESPONSABILIDADES E ESTRUTURA DA GESTO DE SEGURANA DA INFORMAO Ao Comit Gestor de Tecnologia da Informao compete: a) apreciar e aprovar a Poltica de Segurana da Informao e Comunicaes.

5.2 5.3

Aos demais gestores compete: Zelar pelo cumprimento das diretrizes da POSIC. A todos usurios compete: a) conhecer a POSIC e manter nveis de segurana adequados, seguindo as suas diretrizes e normas complementares. b) adotar comportamento seguro, assumindo atitude pr-ativa e engajada no que diz respeito proteo das informaes do Instituto.

5.4

Ao Departamento de Recursos Humanos compete: Obter a assinatura do Termo de Responsabilidade e informar equipe de Tecnologia da Informao sobre mudanas no quadro funcional da Instituio.

5.5

A todos os departamentos: Responsabilidade pela garantia da segurana da informao no mbito do IFPB, ressalvadas as situaes em que: a) a informao for retirada do mbito da rede do IFPB por usurios autorizados; b) o usurio autorizado fornecer sua senha de acesso a qualquer outra pessoa; c) o acesso informao for limitado ou indisponibilizado por servios e estruturas externas ao IFPB ou de responsabilidade de outros rgos ou empresas; d) quando propositadamente ou inadvertidamente o usurio fizer uso inadequado dos recursos (RTIC), seja por inabilidade, conhecimento insuficiente ou inteno de causar dano instituio ou a outrem.

5.6

Ao Comit Gestor de Segurana da Informao compete: a) elaborar e revisar periodicamente a Poltica de Segurana da Informao e Comunicaes (POSIC) e normas relacionadas, submetendo a aprovao do Comit Gestor de Tecnologia da Informao;

Reviso

Emisso

Folha

00

09/NOV/11 9/15

b) propor, acompanhar e divulgar os planos de ao para aplicao da PSI, incluindo a conscientizao de usurios; c) propor a implantao de solues para minimizao dos riscos; e d) elaborar propostas de normas complementares e polticas de uso dos recursos de informao. 5.7 Ao Presidente do Comit Gestor de Segurana da Informao, no mbito de suas atribuies, incumbe: a) promover cultura e segurana da informao e comunicaes; b) acompanhar as investigaes e as avaliaes dos danos decorrentes de quebras de segurana; c) propor recursos necessrios s aes de segurana da informao e comunicaes; d) coordenar o Comit Gestor de Segurana da Informao e a Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais (ETRIRC); e) realizar e acompanhar estudos de novas tecnologias, quanto a possveis impactos na segurana da informao e comunicaes; f) manter contato direto com o Departamento de Segurana da Informao e Comunicaes (DSIC) do Gabinete de Segurana Institucional da Presidncia da Repblica (GSIPR) para o trato de assuntos relativos segurana da informao e comunicaes; e g) propor normas relativas segurana da informao e comunicaes.

Reviso

Emisso

Folha

00

09/NOV/11 10/15

6 6.1

DIRETRIZES TRATAMENTO DA INFORMAO armazenamento,

6.1.1 Devero ser realizados procedimentos de tratamento,

identificao e classificao das informaes da instituio de tal forma a garantir a integridade, facilidade de localizao e evitar o uso dessas informaes por pessoas no autorizadas. 6.1.2 O descarte de informaes sensveis dever ser realizado atravs de triturao, incinerao ou remoo dos dados de forma segurana. 6.1.3 Devero ser realizadas cpias de segurana das informaes tomando como base a norma de gerenciamento de cpias de segurana da informao do IFPB. 6.1.3.1 As cpias de segurana das informaes citadas em 6.1.3 devero ser testadas, verificadas e armazenadas, local e remotamente, de tal forma a evitar a perda da informao por alguma eventualidade.

6.2

GESTO DE RISCOS E TRATAMENTO DE INCIDENTES

6.2.1 Entende-se como gerenciamento de riscos o processo que visa proteo dos servios do IFPB, por meio da eliminao, reduo ou transferncia dos riscos, conforme seja economicamente (e estrategicamente) mais vivel. Os seguintes pontos principais devem ser identificados: a) o que deve ser protegido; b) anlise de riscos (contra quem ou contra o qu deve ser protegido); c) avaliao de riscos (anlise da relao custo/benefcio). 6.2.2 A DTI apresentar planos de gerenciamento de riscos e da ao de resposta a incidentes, a serem aprovados pelo Comit Gestor de Tecnologia da Informao e executados pela DTI e seus ncleos de tecnologia locais.

Reviso

Emisso

Folha

00

09/NOV/11 11/15

6.2.3 As normas e procedimentos para implantao e gerenciamento de riscos de Informao sero definidos em documento especfico elaborado pelo Comit Gestor de Segurana da Informao. 6.2.4 O IFPB dever realizar treinamentos especficos de conscientizao para todos os servidores em noes de segurana da informao visando implantao e gerenciamento de todos os componentes do Sistema de Gesto de Segurana da Informao (SGSI) e a agilidade da notificao de qualquer evento relacionado a segurana da informao que venha a ocorrer.

6.3

GESTO DE CONTINUIDADE

6.3.1 O Plano de Continuidade de Negcio (PCN) tem como objetivo manter em funcionamento os servios e processos crticos do IFPB na possibilidade da ocorrncia de desastres naturais, falhas de equipamentos, furto, roubo, falhas humanas e qualquer outro tipo de eventualidade que venha a ocorrer. 6.3.2 O PCN do IFPB ser definido pelo Comit Gestor de Segurana da Informao com base na anlise de riscos e ter a aprovao do Comit Gestor de Tecnologia da Informao.

6.4

AUDITORIA E CONFORMIDADE

6.4.1 Todos os usurios esto sujeitos auditoria em sua utilizao dos recursos (RTIC). 6.4.2 Os procedimentos de auditoria e de monitoramento de uso dos recursos (RTIC) sero realizados periodicamente pela DTI ou NTI/CTI, com o objetivo de observar o cumprimento das polticas pelos usurios e com vistas gesto de desempenho e segurana.

Reviso

Emisso

Folha

00

09/NOV/11 12/15

6.4.3 Havendo evidncia de atividade que possa comprometer o desempenho e/ou a segurana dos recursos ou que infrinja a POSIC e normas complementares, ser permitido DTI ou NTI/CTI auditar e monitorar atividades de usurios, inspecionar arquivos e registros de acesso, podendo restringir o acesso fonte causadora do problema, remover dados, desativar servidores e implementar filtros, devendo o fato ser imediatamente comunicado chefia imediata do usurio, direo geral do campus e/ou a Reitoria do IFPB dependendo da gravidade. Sendo considerada gravidade baixa a atividade que comprometa apenas a mquina do usurio, gravidade mdia a atividade que comprometa o desempenho da rede e gravidade alta aquela que comprometa a segurana e disponibilidade dos servios. 6.4.4 Ser mantido pela Ouvidoria do IFPB canal de comunicao para receber denncias de infrao a qualquer parte desta poltica de segurana.

6.5

CONTROLE DE ACESSO E UTILIZAO DOS RECURSOS

6.5.1 Todos os usurios do IFPB tm o direito ao uso dos recursos (RTIC) do IFPB de acordo com as diretrizes de seu perfil, definidas por meio de requisitos tcnicos ou por determinao especfica da Reitoria ou dos rgos da administrao superior dos campi. 6.5.2 O acesso aos servios de rede do IFPB que necessitam autenticao s ser permitido a usurios cadastrados. 6.5.3 O acesso aos recursos (RTIC) ser feito por controles fsicos ou lgicos, com objetivo de proteger equipamentos, aplicativos e arquivos de dados contra perda, modificao ou divulgao no autorizada. Quando da utilizao de nome de usurio e senha, estes sero definidos no momento de ingresso no IFPB.

Reviso

Emisso

Folha

00

09/NOV/11 13/15

6.5.4 Todos os usurios devero por meio de um termo de responsabilidade especfico assumir o compromisso de: a) declarar o conhecimento e aceitao dos termos desta poltica de segurana e de suas polticas e normas complementares, no podendo a qualquer tempo alegar desconhecimento ou ignorncia; b) declarar estar ciente que os acessos realizados Internet, assim como contedo das mensagens de correio eletrnico institucional so passveis de auditoria; e c) manter a confidencialidade de sua senha, alterando a mesma sempre que existir qualquer indcio de possvel comprometimento, em intervalos regulares de tempo ou com base no nmero de acessos, a critrio da DTI. 6.5.5 Todos os usurios e qualquer outra pessoa que entre na instituio devero possuir algum tipo de identificao visvel e ter seu acesso registrado, onde possa ser visualizada a data e hora de sua entrada e sada. 6.5.6 Qualquer tipo de informao referente a contedos que dizem respeito instituio devero ser guardados em lugar seguro como, por exemplo, cofres, armrios e moblias que possuam algum tipo de fechadura quando no estiverem em uso. 6.5.7 Qualquer tipo de equipamento de armazenagem e processamento de informao com tombamento (Ex.: estaes de trabalho, notebooks, celulares) s podero ser utilizados fora das dependncias do instituto ou do departamento de sua responsabilidade com autorizao prvia e protegido de forma adequada contra furto, roubo ou perda da informao. 6.5.8 de total responsabilidade do usurio a proteo das informaes institucionais que estejam sob sua responsabilidade, utilizadas no mbito do instituto ou fora de suas dependncias.

Reviso

Emisso

Folha

00

09/NOV/11 14/15

6.5.9 O gerenciamento de informaes, documentos e materiais sigilosos do IFPB devero estar em conformidade com a Lei n 8.159/1991, que dispe sobre a poltica nacional de arquivos pblicos e privados e d outras providncias e com o Decreto n 4.553/2002, que dispe sobre a salvaguarda de dados, informaes, documentos e materiais sigilosos de interesse da segurana da sociedade e do Estado, no mbito da Administrao Pblica Federal, e d outras providncias.

6.6

CORREIO ELETRNICO

6.6.1 Os servios de correio eletrnico hospedados em mquinas servidoras do IFPB so oferecidos como um recurso profissional para apoiar os usurios cadastrados do IFPB no cumprimento dos objetivos institucionais e so passveis de auditoria. 6.6.2 Os servios de correio eletrnico citados em 6.6, devero garantir o sigilo, a confidencialidade, o no-repdio, a autenticidade, a disponibilidade geral do servio e, os usurios que o utilizarem, devero assegurar que o endereamento da mensagem esteja correto.

6.7

PUBLICAO E ACESSO INTERNET

6.7.1 Todos os servidores tm o direito de acesso internet, conforme as permisses de acesso estipuladas nas normas de segurana da instituio. Esse acesso dever ser feito exclusivamente para fins diretos e complementares s atividades da instituio, para o enriquecimento intelectual de seus servidores ou como ferramenta para busca por informaes que venham contribuir para o desenvolvimento de seus trabalhos. 6.7.2 Toda informao publicada no portal do IFPB ser de responsabilidade do usurio que realizou a publicao.

Reviso

Emisso

Folha

00

09/NOV/11 15/15

PENALIDADES

A quem descumprir esta poltica de segurana, as normas e procedimentos estabelecidos pelo IFPB sero aplicadas as sanes e penalidades previstas na legislao em vigor, em especial o que consta: a) na Lei n 8112/1990, que dispe sobre o regime jurdico dos servidores civis da Unio, das autarquias e das fundaes pblicas federais; b) no Cdigo de tica do Servidor Pblico Civil do Poder Executivo Federal, aprovado pelo Decreto n 1.171/1994; c) no Cdigo Penal, atravs do Decreto-Lei n 2848/1940; d) da Lei 8159/1991, que dispe sobre a poltica nacional de arquivos pblicos e privados e d outras providncias; e) no Decreto n 4553/2002, que dispe sobre a salvaguarda de dados, informaes, documentos e materiais sigilosos de interesse da segurana da sociedade e do Estado, no mbito da Administrao Pblica Federal, e d outras providncias.

DISPOSIES GERAIS

Os casos omissos e as dvidas surgidas na aplicao do disposto na Poltica de Segurana da Informao e Comunicaes do IFPB, devem ser direcionados ao Comit Gestor de Segurana da Informao, com a intervenincia do Comit Gestor de Tecnologia da Informao.

ATUALIZAO

Todos os instrumentos normativos gerados a partir da POSIC, incluindo a prpria POSIC, devem ser revisados sempre que se fizer necessrio, no excedendo o perodo mximo de 01 (um) ano.

10 VIGNCIA A presente poltica passa a vigorar a partir da data de sua publicao.