SERVICO PUBLICO FEDERAL UNIVERSIDADE FEDERAL DA PARAIBA ‘CONSELHO UNIVERSITARIO RESOLUCAO N° 32/2014 Institui a politica de seguranga da informagao da URPB, normatiza procedimentos com esta finalidade e dé outras providéncias. © Conselho Universitério (CONSUNI) da Universidade Federal da Paraiba, no uso das atribuigdes que Ihe confere o Estatuto da UFPB, Considerando 0 disposto no Decreto n° 3.505, de 13 de junho de 2000, que institui a politica de seguranga da informag3o nos Srgios e nas entidades da Administragdo Piblica Federal; Considerando 0 disposto no Decreto n® 7.845, de 14 de novembro de 2012, que regulamenta procedimentos para o credenciamento de seguranga e tratamento de informagao classificada em qualquer grau de sigilo no ambito do Poder Executivo federal; Considerando a Instrugdio Normativa MPOG/SLTI n° 04/2010, que exige “normas de seguranga vigentes no érgio ou entidade" para fins de aferigio de comportamento do fomecedoriprovedor de produtos e servigos em TI; Considerando 0 Acérdio TCU n° 1,603/2008-Plendrio, que define politica de seguranga da informagio como "o documento que contém as diretrizes da instituigao quanto ao tratamento da seguranga da informagio" e que "deve declarar explicitamente © comprometimento da diregd0 da insiuigio com seguranga da informagdo, Além disso, deve também conter definigBes dos termos relacionados dentro do escopo da insiuigdo © apontar os objetivos de controle, os coniroles, as esruturas que implementam estes contole, as responsabilidades¢ tamibem 45 politicas e normas que disciplinam e complementam esse documento de dretrizes, incluindo referencias a legisagio aos requisites regulamentarese contratuais” (p. 15); Considerando a necessidade da Universidade Federal da Paraiba adequar-se aos decretos, normativas ¢ acérdios citados; Considerando @ homologagao prévia pelo Comité de Gestio e Tecnologia da Informagao (CGT), conforme proceso n° 23074,015468/2014-44, em atendimento a prerrogativa regimental do CGTI de “avaliar e emitir parecer sobre proposigdes de politicas [...]" (Regimento CGT, Ant. 2%}; e, tendo em vista deliberagdo do plendrio em reunido ordinaria realizada no dia 21 de outubro de 2014 (Processo n® 23074.017164/2014-11), RESOLVE: Art. 1° Instituir a Politica de Seguranga da Informagio da UFPB (PSI/UFPB), Paragrafo inico A PSI/UFPB seri executada na forma disposta no anexo a esta resolugao.Art. 2°. Os casos omissos serao resolvidos pelo CONSUNI, Art. 3°. A presente resolugdo entra em vigor na data de sua publicagdo, revogadas as normas anteriores da Instituigao relativas matéria, Consetho Universitario da Universidade Federal da Paraiba, Jodo Pessoa, 22 de outubro de 2014, Margareth de Fatima Formiga de Melo Diniz. PresidenteANEXO DA RESOL UGAO 32/2014 DO CONSUNI QUE INSTITUI A POLITICA DE SEGURANGA DA INFORMAGAO DA UFPB (PSI/UFPB) CAPITULO DO OBJETO Art. 1° Fica estabelecida a Politica de Seguranga da Informagao (PSI) da Universidade Federal da Paraiba (UFPB), contendo as diretrizes de seguranga da informagio a serem observadas no Ambito desta Universidade. Parigrafo Unico. As diretrizes estabelecidas na PSVUFPB determinam as bases a serem seguidas pela UFPB com relagdo a seguranga dos recursos de tecnologia da informagao (Tl) € informagdes geradas na UFPB. Art. 2°. A PSI consiste em um quadro de referéncia contendo prineipios que norteiam a gesttio da seguranga da informagdo € que devem ser observados por professores, alunos, servidores e demais usuarios que interagirem com os " ativos’ de T! da UFPB. Art. 3° Para fins da execugao da PSI/UFPB, aplicam-se-os seguintes conceitos referentes a ativos de TI: 1. Ativo de Informagio — qualquer recurso que faga parte dos sistemas de informagao (SI) meios para gerago de documentos que tenham valor para a UFPB: IL Ativo de Sistema — patriménio composto por todos os dados e informagées geradas e manipuladas durante a execucdo de SIs e processos da UFPB; IIL Ativo de Processamento — patriménio composto por todos os elementos de hardware, software, servigo, infraestrutura e instalagdes fisicas necessérias para a execuglo dos Sis ¢ processos da UFPB, incluindo tanto aqueles produzidos interamente quanto 0s adquiridos externamente por esta Universidade; IV. Controle de Acesso — restrigdes ao acesso as informagdes de um SI, estabelecidas pela Geréncia de Seguranga da Informagiio (GSEGI) da Superintendéneia de Tecnologia da Informagao (STI) da UFPB. V. Custédia — consiste em restrigfo de acesso de ative como forma de protegé-lo para possivel auditoria ou posterior andlise judicial; VI Direito de Acesso ~ privilégio associado a um cargo, pessoa ou processo, que atribui permissdo de acesso a um ativo de TI; VIL. Ferramentas — conjunto de equipamentos, programas, procedimentos, normas € demais recursos, por meio dos quais se aplica a PSUUFPB. VIII. tncidente de Seguranga — qualquer evento ou ocorréncia que promova uma ou mais, ages que comprometam ou que sejam ameaga a integridade, autenticidade ou disponibilidade de qualquer ativo de TI da UFPB: IX. Protegdo de Ativos — proceso pelo qual os atives de TI recebem determinadaclassificago relacionada a restrigio de acesso, X. Responsabilidade — obrigagdes e deveres da pessoa que ocupa determinada fungao em relagdo ao acervo de ativos de TI CAPITULO IL DOS OBJETIVOS E DO ESCOPO Art. 4° A PS/UFPB tem os seguintes objetivos: I. Definir 0 escopo da seguranga da informagao da UFPB; Il. Orientar as agdes de seguranga com o intuito de reduzir riscos e garantir a confidencialidade, integridade e disponibilidade dos ativos de TI da UFPB; IIL. Incentivar 0 uso de solugdes integradas de seguranca; I. ervir de referéncia para auditoria, apuragao e avaliagao de responsabilidades; Art. 5° A PS/JUPPB abrange os seguintes aspectos: I. Requisitos de seguranga criptogrificos: define padres e principios sobre quando como recursos criptogrificos devem (ou nfo devem) ser utilizados sobre dados institucionais; TL, Requisitos de seguranga no manuseio ¢ tratamento de informagdo: define padrdes € principios relacionados ao manuseio de informagdes, 0 que inclui inventirios, administragao € propriedade sobre dados, eliminagdo e remogio de informagio, informagdes disponiveis em mesas de trabalho, telas de computador, material impresso, ete. IIL. Requisitos de seguranga de redes e dispositivos méveis: define padries e principios relacionados a seguranga de redes, por cabos ¢ sem fio, tais como administragao, design configuragiio da rede, seguranga fisica e redundancia, conexdo de dispositivos, servigos protocolos; TY. Requisitos de seguranga em operagdes de sistemas de informagdo: define padrdes ¢ princfpios relacionados & operacdo dos sistemas de informagio, tais como procedimentos operacionais, controles, responsabilidades sobre senhas, contas de usuérios, uso de correio eletrénico, relato de incidentes de seguranga da informagao ¢ falhas de software; V. Requisitos de seguranga contratual e acordo de nivel de servigo: define padroes € principios relacionados manutengao da seguranga dos ativos de TI que so acessados ou fornecidos por terceiros; VI Requisitos de seguranga em recursos humanos: define padrées ¢ principios de seguranga relacionados a agdes realizadas por ou eventos ocorridos com servidores (docentes € técnico-administrativos), gestores, pessoal em cargos de chefia, estagiirios, tais como procedimentos a realizar quando um servidor & exonerado, quando sofre relotagio, quando esté em licenga, ete.;VII. Requisitos de seguranga em gestiio de software: define padrdes e principios relacionados a administragio de softwares instalados nos computadores da UFPB, tais como gerenciamento de licencas, uso de "software livre", riscos relacionados ao desenvolvimento de software por parte dos usuirios, atualizagao de versdo, etc. VIII. Requisitos de seguranga para aquisicdo de ativos de TI: define padries e prinefpios relacionados a selecdo, aquisigao, instalagdo € gestio de contratos de fornecimento/pravimento de ativos de TI Paragrafo Unico. A responsabilidade sobre os ativos de TI ¢ os requisitos de seguranga dos itens supracitados serdo regulamentados por meio de normas especificas elaboradas pela GSEGISTI, baseadas em padrio ABNT especifico e submetidas & homologag2o pelo Comité de Gestio e Tecnologia da Informagdo (CGTI) e aprovagao final pelo CONSUNI. CAPITULO IIL DO GERENCIAMENTO DE RISCOS E INCIDENTES DE SEGURANCA DA. INFORMAGAO. Art, 6° Entende-se como gerenciamento de riscos 0 proceso que visa A protegdo dos servigos de TI da UFPB por meio da aceitagdo, redugdo, eliminagao ou transferéncia de riscos, conforme seja econdmica ¢ estrategicamente viével. Os seguintes pontos principais devem ser identificados: 1. Escopo —ativos de TI a serem protegidos: Il, Riscos — areas em que a seguranga da informagio pode ser comprometida, considerando-se o escopo estabelecido: TIL. Analise de Riscos ~ considera a probabilidade de determinado isco se coneretizar e potencial dano dele advindo, assim como a decisio que deve ser tomada de acordo com escopo € riscos. Art. 7° 0 processo de gerenciamento de riscos sera instituido e revisto periodicamente pela GSEGUSTI com o intuito de agir proativamente contra riscos advindos de novas tecnologias ‘¢ ameagas externas, visando a constante elaboragdo de planos de agdo apropriados para protesao dos ativos ameagados. Paragrafo Unico. Todos os ativos de Tl da UFPB deverio ser inventariados & classificados de acordo com as instrugdes no Decreto N° 7.845 de 14 de Novembro de 2012. Art. 8° A GSEGI/STI apresentara planos de gerenciamento de incidentes © ago de resposta a incidentes a serem avaliados e aprovados pelas instincias competentes na STI ¢ submetidos a aprovagao pelo CGT Art 9° Os incidentes de seguranca da informagao identificados por quaisquer servidores, alunos ou professores deverdo ser prontamente reportados ao responsdvel do setor onde 0 incidente ocorreu, bem como a STI: CAPITULO IV DOS DEVERES E DAS RESPONSABILIDADES Art. 10. E dever de todo usuario dos ativos de TI da UFPB:1. Preservar a integridade e guardar sigilo das informagies de que fazem uso, bem como zelar e proteger os ativos de Tl; II. Cumprir a PSI/UFPB, sob pena de sangdes disciplinares e legais cabiveis, previstas no Art. 13 desta Resolugaio, IIL. Utilizar os SIs da UFPB € 0s recursos a eles relacionados apenas para os fins previstos por esta Universidade; IV, Abster-se de instalar, utilizar, inspecionar, copiar, armazenar ou fornecer ativos de TI (incluindo, enfaticamente, programas de computador/software) em violagdo a legislagao de propriedade intelectual vigente; V. Responder por todo e qualquer acesso realizado aos ativos de TI da UFPB realizado por meio de sua credencial individual ou por meio de credencial piiblica ou de grupo; VI. Comunicar ao seu superior imediato quaisquer irregularidades ou desvios de uso dos ativos de TI identificados, para que o mesmo possa relatar @ GSEGI Art. 11. E dever de todo ocupante de cargo de chefia na UFPB: I. Verificar 0 atendimento as regras de protegio dos ativos de TI da UFPB por parte de seus subordinados; II. Aplicar medidas em caso de violagdo das regras estabelecidas de acordo com as Normas ¢ Procedimentos de Seguranga da Informagao da STI; IIL Atualizar-se periodicamente quanto as politicas, normas e procedimentos de seguranga da informagao vigentes na UFPB; 1V. Identificar, registrar ¢ comunicar 4 STI as violagdes ou tentativas de acesso a atives de TI ndo autorizadas; V. Manter 0 devido registro e controle ao autorizar e forever acesso aos ativos de TI sob sua responsabilidade a servidores, professores, alunos ou terceiros. Art. 12, Entende-se como responsabilidade de quem elabora contratos relativos & TI em nome da UFPB a observagdo das normas que estabelecem requisitos de seguranga contratual e acordos de nivel de servigo (SLA, na sigla original em inglés). CAPITULO V DAS SANGOES E PENALIDADES Art, 13. Em caso de descumprimento de termos estabelecidos por esta Resolugao, serdo aplicadas as sangdes e penalidades previstas na legislagao em vigor, em especial no Cédigo de Ftica do Servidor Piblico Civil do Poder Executivo Federal, aprovado pelo Decreto n° 1.171/1994 © na Lei n° 8.112/1990, que instituiu o Regime Juridico dos Servidores Publicos Civis da Unido, das autarquias, inclusive as em regime especial, ¢ das fundagées publicas federais,CAPITULO VI DAS AUDITORIAS E FISCALIZAGOES. Art. 14, Cabe & GSEGV/STI responder As difigéncias relativas & seguranga da informagio promovidas por meio de auditoria interna ou externa, CAPITULO VII DO GERENCIAMENTO DE RISCOS Art. 15. As normas © procedimentos para implantagdo do gerenciamento de riscos referentes aos ativos de TI sero definidos em norma especifica, a ser elaborada pela GSEGUST! submetida & aprovagio pelo CGTL CAPITULO VIII DO PLANO DE CONTINUIDADE DE NEGOCIOS ‘Art. 16. O Plano de Continuidade de Negécios (PCN) tem como objetivo manter em funcionamento os servigos © processos criticos da UFPB, na eventualidade de ocorréncia de desastres, atentados, falhas e intempéries. Art. 17. O PCN da UFPB sera definido pela STI, levando em consideragdo as normas € procedimentos para gerenciamento de riscos referentes aos ativos de TI, € submetido a aprovagio pelo CGTI CAPITULO IX, DAS DISPOSIGOES FINAIS Art. 18. A PSI da UFPB se aplica a todos os integrantes do quadro de pessoal, recursos administrativos ¢ tecnolégicos, ¢ tem abrangéncia sobre os recursos ligados a esta Universidade em carater permanente ou temporatio. Art. 19, A PSI resultante contida nesta Resolucdo deverd ser publicada e amplamente promovida, garantindo que a comunidade universitéria tenha conhecimento da mesma para adequado usufruto dos beneficios e assungio das responsabilidades sobre os ativos de TI da UFPB. Art. 20. Os processos de aquisigdo de bens ¢ servigos relacionados a ativos de TI na UFPB deveriio observar conformidade com esta PSI Art. 21. A PSI seré revisada anualmente pela GSEGUSTI, apreciada pelo CGTI e submetida i aprovagao do CONSUNI. Art. 22. Os casos omissos nesta Resolugo serio resolvidos pelo CONSUNI owvidos a GSEGU/STI eo CGTI.