Dispõe sobre a Política de Segurança da Informação no âmbito da Subprefeitura Pirituba/Jaraguá - SUB/PJ.
PORTARIA 75/ 2018/ SUBPJ-GAB
DISPÕE SOBRE A POLÍTICA DE SEGURANÇA DA INFORMAÇÃO NO ÂMBITO DA SUBPREFEITURA PIRITUBA / JARAGUÁ - SUBPJ.
O Subprefeito de Pirituba / Jaraguá, no uso das atribuições que lhe são conferidas por lei,
RESOLVE:
1. A Política de Segurança da Informação, no âmbito da Subprefeitura Pirituba / Jaraguá - SUBPJ visa garantir a confidencialidade, integridade e disponibilidade dos ativos de informação.
2. Para efeito desta Portaria, entende-se por:
a) Ativos de Informação: patrimônio composto por todos os dados e informações gerados e manipulados nos processos da SUB-PJ, bem assim todos os elementos de infraestrutura, tecnologia, hardware e software necessários à execução dos processos da organização;
b) Ambiente Informatizado: conjunto de recursos que utiliza ou disponibiliza serviços de processamento de dados e sistemas de informação da SUB-PJ;
c) Confidencialidade: princípio de segurança que trata da garantia de que o acesso à informação seja obtido somente por pessoas autorizadas;
d) Integridade: princípio de segurança que trata da salvaguarda da exatidão e confiabilidade da informação e dos métodos de processamento;
e) Disponibilidade: princípio de segurança que trata da garantia de que pessoas autorizadas obtenham acesso à informação e aos recursos correspondentes, sempre que necessário;
f) Análise de Risco e Vulnerabilidades: avaliação das ameaças aos ativos de informação e da probabilidade de sua ocorrência;
g) Controle de Acesso: conjunto de recursos que efetivam as autorizações e as restrições de acesso aos sistemas da SUB-PJ;
h) Gestor de Sistema: funcionário da SUB-PJ responsável pela definição e manutenção de determinado sistema; e,
i) Sistema / Software Homologado: software desenvolvido, adquirido ou alterado pela SUB-PJ, ou a pedido desta, e submetido a procedimentos de verificação quanto à aderência às especificações e às normas vigentes na SUB-PJ.
3. Os ativos de informação e o ambiente informatizado da SUB-PJ devem estar em conformidade com as normas de segurança instituídas por esta Portaria e demais normas relativas à segurança da informação.
4. Os ativos de informação da SUB-PJ devem ser protegidos contra ações intencionais ou acidentais que impliquem perda, destruição, inserção, cópia, extração, alteração, uso e exposição indevidos.
5. As informações da SUB-PJ devem ser classificadas em função de sua importância e confidencialidade.
6. As medidas de segurança devem ser adotadas de forma proporcional aos riscos existentes e à magnitude dos danos potenciais, considerados o ambiente, o valor e a criticidade da informação.
Parágrafo único. Os dados e informações devem ser mantidos com o mesmo nível de proteção, independente do meio no qual estejam armazenados, em que trafeguem ou do ambiente em que estejam sendo processados.
7. O acesso aos ativos de informação e ao ambiente informatizado da SUB-PJ deve ser sempre motivado por necessidade de serviço, devendo ser controlado e restrito às pessoas autorizadas.
a) . As permissões de acesso são de uso exclusivo e intransferível, sendo vedado à pessoa autorizada permitir que terceiros utilizem suas permissões de acesso em qualquer circunstância.
b) . As permissões de acesso devem ser graduadas de acordo com as atribuições dos cargos exercidos pelos funcionários.
c) . O acesso ao ativo de informação não gera direito sobre o mesmo e nem sobre os frutos de sua utilização.
8. Os servidores da SUB-PJ devem ser treinados e capacitados a exercerem as atividades inerentes à área de segurança da informação, bem assim sobre as formas de proteção dos ativos de informação sob sua responsabilidade.
DA SEGURANÇA NO AMBIENTE INFORMATIZADO
9. Os ambientes informatizados da SUB-PJ devem possuir:
a) modelo de gestão, devidamente aprovado pela Assessoria de Gestão de Tecnologia da Informação - AGTI;
b) plano de contingência que assegure a operação e a recuperação de ativos de informação em situações de emergência, de acordo com as necessidades e prazos específicos;
c) recursos de autenticação que garantam a identificação individual e inequívoca do usuário, quando do acesso aos ativos de informação;
d) recursos de identificação das transações efetuadas por um determinado usuário;
e) recursos de criptografia;
f) mecanismos de proteção da rede da SUB-PJ, inclusive em suas interfaces com outras redes e com a Internet;
g) monitoração, preferencialmente em tempo real, com vistas a prover mecanismos de prevenção, detecção, identificação e combate à invasão (intrusão);
h) mecanismos de prevenção, detecção e eliminação de vírus de computador e outros programas não autorizados, principalmente aqueles com teor ilícito e/ou pornografia;
i) sistemática de geração de cópias de segurança (backup) e de recuperação de informações (restore) devidamente documentada;
j) medidas para verificação dos dados quanto a sua precisão e consistência;
k) auditoria nos sistemas e formas de acesso definidas, com vistas a permitir a detecção de qualquer irregularidade de acesso;
l) rastreabilidade das operações executadas, possibilitando a associação da transação à permissão de acesso; e,
m) controle de acesso físico às instalações e equipamentos.
10. Os ambientes de produção, treinamento, prospecção, testes, homologação e desenvolvimento dos sistemas informatizados, localizados nas unidades da SUB-PJ ou em seus prestadores de serviços, devem ser distintos e de exclusividade da SUB-PJ, observadas as normas definidas pela AGTI.
a) . Todos os sistemas informatizados da SUB-PJ sujeitam-se às normas estabelecidas nesta Portaria.
b) . Compete à AGTI indicar os gestores de sistemas informatizados da SUB-PJ em ambiente de desenvolvimento, prospecção, testes e homologação.
c) . Compete ao Gabinete, coordenadorias, supervisões e demais departamentos da SUB-PJ indicar os gestores, entre os seus funcionários efetivos, dos respectivos sistemas informatizados em ambiente de produção e treinamento.
11. O desenvolvimento de software, em todas as fases do processo, a prospecção de produtos e serviços e os procedimentos de homologação deverão contar com a participação de funcionário em exercício na AGTI.
12. No ambiente informatizado da SUB-PJ devem ser utilizados e instalados somente softwares homologados pela AGTI.
a) O disposto no caput não se aplica aos ambientes de prospecção, testes e homologação.
b) Os softwares não homologados em ambiente de produção na data de publicação desta Portaria terão prazo de 6 (seis) meses para a regularização conforme disposto no caput.
13. Os softwares instalados nos equipamentos servidores, nos equipamentos de rede e comunicação e nas estações de trabalho devem ser permanentemente atualizados, visando incrementar aspectos de segurança e corrigir falhas.
14. Os ativos de informação devem ser inventariados periodicamente pela AGTI, em relação aos aspectos atinentes a hardware, software e configurações.
15. A eliminação de informação protegida: por sigilo fiscal ou de uso exclusivo da SUB-PJ e de softwares instalados, constantes em dispositivos de armazenamento, deve ser procedida mediante a utilização de ferramentas adequadas à eliminação segura dos dados, em especial, quando:
a) destinados, no âmbito da SUB-PJ, a outro funcionário;
b) houver alteração das atividades desempenhadas pelo funcionário e o conteúdo armazenado for prescindível às novas atividades;
c) destinados a pessoas ou organizações não autorizadas; e,
d) o dispositivo de armazenamento estiver danificado.
Parágrafo único Na hipótese prevista no inciso “d” do caput, o dispositivo de armazenamento deverá ser destruído se as informações nele contidas não puderem ser eliminadas.
16. Devem ser adotadas medidas adicionais de proteção, visando garantir o mesmo nível de segurança das instalações internas da SUB-PJ, no caso de:
a) computação móvel;
b) acesso remoto ao ambiente informatizado da SUB-PJ;
c) operação de redes instaladas em recintos diferentes das unidades da SUB-PJ;
d) equipamentos destinados ao acesso público; e,
e) comunicação sem fio.
17. O tráfego de informações em redes locais e de longa distância deve ser protegido contra danos, perdas, indisponibilidades, uso ou exposição indevidos, de acordo com seu valor, criticidade e confidencialidade.
a) O tráfego de dados deve ser efetuado por meio de canais privativos, sejam eles físicos ou virtuais, que provejam criptografia e autenticação.
b) As redes devem, preferencialmente, possuir rotas alternativas e contar com mecanismos de redundância.
18. É vedada a alteração dos mecanismos e configurações definidos pela AGTI, incluindo:
a) infraestrutura elétrica para os ativos de informação;
b) infraestrutura lógica;
c) equipamentos de rede e de conectividade;
d) equipamentos servidores;
e) estações de trabalho fixas (hardwares desktop);
f) estações de trabalho móveis (hardwares Notbooks) ;
g) sistemas operacionais;
h) softwares em geral; e,
i) dispositivos de comunicação sem fio.
19. A AGTI editará e manterá atualizado Manual de Procedimentos de Segurança, que servirá de referência para certificação de conformidade dos ambientes da SUB-PJ e dos prestadores de serviços, devendo abranger, dentre outros, os seguintes aspectos:
a) segurança física das instalações onde se encontram os recursos do ambiente;
b) configuração dos equipamentos servidores, de rede e de comunicações, bem assim das estações de trabalho;
c) atualização dos softwares em uso na SUB-PJ;
d) prevenção, detecção e eliminação de vírus de computador;
e) cópia de segurança (backup) e recuperação;
f) uso, armazenamento e destruição de informações; e,
g) transmissão e compactação de dados.
20. Cabe à AGTI:
a) gerenciar o processo de implantação e aplicação das normas constantes nesta Portaria;
b) definir os agentes intervenientes, bem assim as respectivas atribuições, necessários para garantir o fiel cumprimento desta Portaria;
c) regulamentar o acesso aos ativos de informação da SUB-PJ;
d) realizar, periodicamente, auditoria de segurança e análise de risco e vulnerabilidades nos ambientes operacionais e nos sistemas de informação localizados nos prestadores de serviços e nas próprias instalações nas unidades da SUB-PJ;0
e) dirimir eventuais dúvidas relativas aos procedimentos regulamentados; e,
f) elaborar e expedir normas complementares em consonância com o Plano Diretor Geral de Tecnologia da Informação e Comunicação- PDGTIC, Decreto 57.653/2017 - Política Municipal de Governança de Tecnologia da Informação e Comunicação, e com esta Portaria.
DAS RESPONSABILIDADES FUNCIONAIS
21. É responsabilidade de todos os funcionários cuidar da integridade, confidencialidade e disponibilidade dos ativos de informação da SUB-PJ.
Parágrafo único É vedado aos usuários de sistemas da SUB-PJ permitir ou facilitar o acesso de pessoas não autorizadas aos ativos de informação.
22. É proibida a exploração de falhas ou vulnerabilidades porventura existentes nos ativos de informação da SUB-PJ.
Parágrafo único: A AGTI poderá autorizar testes controlados para identificar a existência de falhas ou vulnerabilidades nos ativos de informação da SUB-PJ.
23. O funcionário da SUB-PJ que detectar a ocorrência de quaisquer falhas, desvios ou vulnerabilidade nos ativos de informação da SUB-PJ deve, imediatamente, comunicar, por escrito, à chefia imediata, e esta à AGTI.
Parágrafo único: É responsabilidade da chefia imediata iniciar ação corretiva apropriada para corrigir os desvios com relação às normas desta Portaria ou procedimentos de segurança dentro de sua área de atuação, comunicando o fato a AGTI.
24. O descumprimento das disposições desta Portaria caracterizará infração ao dever de desempenhar com zelo e presteza os trabalhos de que foi incumbido, prevista no inciso III do art. 178 da Lei 8.989, de 29 de outubro de 1979, a ser apurada em processo administrativo disciplinar, sem prejuízo da responsabilidade penal e civil, em especial, quando ocorrer:
a) o acesso imotivado de usuário aos sistemas informatizados da SUB-PJ;
b) a quebra de sigilo funcional com a divulgação de dados obtidos dos sistemas informatizados a terceiros ou a funcionários da SUB-PJ e usuários em geral que não estejam envolvidos nos trabalhos objeto das consultas; e,
c) a falta de cuidado na guarda e utilização da senha ou empréstimo a outro funcionário, ainda que habilitado.
DAS DISPOSIÇÕES FINAIS
25. Os aspectos de segurança específicos de cada sistema poderão ser regulados em atos próprios, expedidos pela AGTI com apoio dos respectivos Gestores de Sistema.
26. A Assessoria de Gestão de Tecnologia da Informação AGTI da SUB-PJ em consonância com o Gabinete do Subprefeito, terá as seguintes atribuições:
a) formular as normas complementares informacionais da SUB-PJ;
b) divulgar as políticas de informática nas unidades da SUB-PJ;
c) manter e aprimorar a Política de Segurança da SUB-PJ aplicadas às atividades de proteção da informação eletrônica da SUB-PJ; e,
d) manter lista de discussão aberta sobre a aplicação das Normas de Segurança Informacional no âmbito da SUB-PJ.
27. Esta Portaria entrará em vigor na data de sua publicação.
Este texto não substitui o original publicado no Diário Oficial da Cidade de São Paulo