PORTARIA 160/06 - SF

Dispõe sobre a Política de Segurança da Informação no âmbito da Secretaria Municipal de Finanças.

O SECRETÁRIO MUNICIPAL DE FINANÇAS, no uso das atribuições que lhe são conferidas por lei,

RESOLVE:

1. A Política de Segurança da Informação, no âmbito da Secretaria Municipal de Finanças - SF visa garantir a confidencialidade, integridade e disponibilidade dos ativos de informação.

2. Para efeito desta Portaria, entende-se por:

a) Ativos de Informação: patrimônio composto por todos os dados e informações gerados e manipulados nos processos de SF, bem assim todos os elementos de infra-estrutura, tecnologia, hardware e software necessários à execução dos processos da organização;

b) Ambiente Informatizado: conjunto de recursos que utiliza ou disponibiliza serviços de processamento de dados e sistemas de informação de SF;

c) Confidencialidade: princípio de segurança que trata da garantia de que o acesso à informação seja obtido somente por pessoas autorizadas;

d) Integridade: princípio de segurança que trata da salvaguarda da exatidão e confiabilidade da informação e dos métodos de processamento;

e) Disponibilidade: princípio de segurança que trata da garantia de que pessoas autorizadas obtenham acesso à informação e aos recursos correspondentes, sempre que necessário;

f) Análise de Risco e Vulnerabilidades: avaliação das ameaças aos ativos de informação e da probabilidade de sua ocorrência;

g) Controle de Acesso: conjunto de recursos que efetivam as autorizações e as restrições de acesso aos sistemas de SF;

h) Gestor de Sistema: funcionário de SF responsável pela definição e manutenção de determinado sistema; e,

i) Sistema / Software Homologado: software desenvolvido, adquirido ou alterado por SF, ou a pedido desta, e submetido a procedimentos de verificação quanto à aderência às especificações e às normas vigentes em SF.

3. Os ativos de informação e o ambiente informatizado de SF devem estar em conformidade com as normas de segurança instituídas por esta Portaria e demais normas relativas à segurança da informação.

4. Os ativos de informação de SF devem ser protegidos contra ações intencionais ou acidentais que impliquem perda, destruição, inserção, cópia, extração, alteração, uso e exposição indevidos.

5. As informações de SF devem ser classificadas em função de sua importância e confidencialidade.

6. As medidas de segurança devem ser adotadas de forma proporcional aos riscos existentes e à magnitude dos danos potenciais, considerados o ambiente, o valor e a criticidade da informação.

Parágrafo único. Os dados e informações devem ser mantidos com o mesmo nível de proteção, independente do meio no qual estejam armazenados, em que trafeguem ou do ambiente em que estejam sendo processados.

7. O acesso aos ativos de informação e ao ambiente informatizado de SF deve ser sempre motivado por necessidade de serviço, devendo ser controlado e restrito às pessoas autorizadas.

§ 1º . As permissões de acesso são de uso exclusivo e intransferível, sendo vedado à pessoa autorizada permitir que terceiros utilizem suas permissões de acesso em qualquer circunstância.

§ 2º . As permissões de acesso devem ser graduadas de acordo com as atribuições dos cargos exercidos pelos funcionários.

§ 3º . O acesso ao ativo de informação não gera direito sobre o mesmo e nem sobre os frutos de sua utilização.

8. Os servidores de SF devem ser treinados e capacitados a exercerem as atividades inerentes à área de segurança da informação, bem assim sobre as formas de proteção dos ativos de informação sob sua responsabilidade.

DA SEGURANÇA NO AMBIENTE INFORMATIZADO

9. Os ambientes informatizados de SF devem possuir:

a) modelo de gestão, devidamente aprovado pela Assessoria de Tecnologia de Informação e Modernização - ASTIM;

b) plano de contingência que assegure a operação e a recuperação de ativos de informação em situações de emergência, de acordo com as necessidades e prazos específicos;

c) recursos de autenticação que garantam a identificação individual e inequívoca do usuário, quando do acesso aos ativos de informação;

d) recursos de identificação das transações efetuadas por um determinado usuário;

e) recursos de criptografia;

f) mecanismos de proteção da rede de SF, inclusive em suas interfaces com outras redes e com a Internet;

g) monitoração, preferencialmente em tempo real, com vistas a prover mecanismos de prevenção, detecção, identificação e combate à invasão (intrusão);

h) mecanismos de prevenção, detecção e eliminação de vírus de computador e outros programas não autorizados, principalmente aqueles com teor ilícito e/ou pornografia;

i) sistemática de geração de cópias de segurança (backup) e de recuperação de informações (restore) devidamente documentada;

j) medidas para verificação dos dados quanto a sua precisão e consistência;

k) auditoria nos sistemas e formas de acesso definidas, com vistas a permitir a detecção de qualquer irregularidade de acesso;

l) rastreabilidade das operações executadas, possibilitando a associação da transação à permissão de acesso; e,

m) controle de acesso físico às instalações e equipamentos.

10. Os ambientes de produção, treinamento, prospecção, testes, homologação e desenvolvimento dos sistemas informatizados, localizados nas unidades de SF ou em seus prestadores de serviços, devem ser distintos e de exclusividade de SF, observadas as normas definidas pela ASTIM.

§ 1º . Todos os sistemas informatizados de SF sujeitam-se às normas estabelecidas nesta Portaria.

§ 2º . Compete à ASTIM indicar os gestores de sistemas informatizados de SF em ambiente de desenvolvimento, prospecção, testes e homologação.

§ 3º . Compete às subsecretarias, coordenadorias, presidência do Conselho Municipal de Tributos e auditoria geral indicar os gestores, entre os seus funcionários efetivos, dos respectivos sistemas informatizados em ambiente de produção e treinamento.

11. O desenvolvimento de software, em todas as fases do processo, a prospecção de produtos e serviços e os procedimentos de homologação deverão contar com a participação de funcionário em exercício na ASTIM.

12. No ambiente informatizado de SF devem ser utilizados e instalados somente softwares homologados pela ASTIM.

§ 1º . O disposto no caput não se aplica aos ambientes de prospecção, testes e homologação.

§ 2º . Os softwares não homologados em ambiente de produção na data de publicação desta Portaria terão prazo de 6 (seis) meses para a regularização conforme disposto no caput.

13. Os softwares instalados nos equipamentos servidores, nos equipamentos de rede e comunicação e nas estações de trabalho devem ser permanentemente atualizados, visando incrementar aspectos de segurança e corrigir falhas.

14. Os ativos de informação devem ser inventariados periodicamente pela ASTIM, em relação aos aspectos atinentes a hardware, software e configurações.

15. A eliminação de informação protegida por sigilo fiscal ou de uso exclusivo de SF e de softwares instalados, constantes em dispositivos de armazenamento, deve ser procedida mediante a utilização de ferramentas adequadas à eliminação segura dos dados, em especial, quando:

a) destinados, no âmbito de SF, a outro funcionário;

b) houver alteração das atividades desempenhadas pelo funcionário e o conteúdo armazenado for prescindível às novas atividades;

c) destinados a pessoas ou organizações não autorizadas; e,

d) o dispositivo de armazenamento estiver danificado.

Parágrafo único Na hipótese prevista no inciso IV do caput, o dispositivo de armazenamento deverá ser destruído se as informações nele contidas não puderem ser eliminadas.

16. Devem ser adotadas medidas adicionais de proteção, visando garantir o mesmo nível de segurança das instalações internas de SF, no caso de:

* computação móvel;

* acesso remoto ao ambiente informatizado de SF;

* operação de redes instaladas em recintos diferentes das unidades de SF;

* equipamentos destinados ao acesso público; e,

* comunicação sem fio.

17. O tráfego de informações em redes locais e de longa distância deve ser protegido contra danos, perdas, indisponibilidades, uso ou exposição indevidos, de acordo com seu valor, criticidade e confidencialidade.

§ 1º . O tráfego de dados deve ser efetuado por meio de canais privativos, sejam eles físicos ou virtuais, que provejam criptografia e autenticação.

§ 2º. As redes devem, preferencialmente, possuir rotas alternativas e contar com mecanismos de redundância.

18. É vedada a alteração dos mecanismos e configurações definidos pela ASTIM, incluindo:

a) infra-estrutura elétrica para os ativos de informação;

b) infra-estrutura lógica;

c) equipamentos de rede e de conectividade;

d) equipamentos servidores;

e) estações de trabalho fixas (hardwares desk top);

f) estações de trabalho móveis (hardwares lap ou palm top) ;

g) sistemas operacionais;

h) softwares em geral; e,

i) dispositivos de comunicação sem fio.

19. A ASTIM editará e manterá atualizado Manual de Procedimentos de Segurança, que servirá de referência para certificação de conformidade dos ambientes de SF e dos prestadores de serviços, devendo abranger, dentre outros, os seguintes aspectos:

a) segurança física das instalações onde se encontram os recursos do ambiente;

b) configuração dos equipamentos servidores, de rede e de comunicações, bem assim das estações de trabalho;

c) atualização dos softwares em uso em SF;

d) prevenção, detecção e eliminação de vírus de computador;

e) cópia de segurança (backup) e recuperação;

f) uso, armazenamento e destruição de informações; e,

g) transmissão e compactação de dados.

20. Cabe à ASTIM:

a) gerenciar o processo de implantação e aplicação das normas constantes nesta Portaria;

b) definir os agentes intervenientes, bem assim as respectivas atribuições, necessários para garantir o fiel cumprimento desta Portaria;

c) regulamentar o acesso aos ativos de informação de SF;

d) realizar, periodicamente, auditoria de segurança e análise de risco e vulnerabilidades nos ambientes operacionais e nos sistemas de informação localizados nos prestadores de serviços e nas próprias instalações nas unidades de SF;

e) dirimir eventuais dúvidas relativas aos procedimentos regulamentados; e,

f) elaborar e expedir normas complementares em consonância com o Decreto nº 47.549, de 04 de agosto de 2006, com o Regimento Interno aprovado pela Portaria SF nº 112, de 31 de agosto de 2006, e com esta Portaria.

DAS RESPONSABILIDADES FUNCIONAIS

21. É responsabilidade de todos os funcionários cuidar da integridade, confidencialidade e disponibilidade dos ativos de informação de SF.

Parágrafo único É vedado aos usuários de sistemas de SF permitir ou facilitar o acesso de pessoas não autorizadas aos ativos de informação.

22. É proibida a exploração de falhas ou vulnerabilidades porventura existentes nos ativos de informação de SF.

Parágrafo único: A ASTIM poderá autorizar testes controlados para identificar a existência de falhas ou vulnerabilidades nos ativos de informação de SF.

23. O funcionário de SF que detectar a ocorrência de quaisquer falhas, desvios ou vulnerabilidade nos ativos de informação de SF deve, imediatamente, comunicar, por escrito, à chefia imediata, e esta à ASTIM.

Parágrafo único: É responsabilidade da chefia imediata iniciar ação corretiva apropriada para corrigir os desvios com relação às normas desta Portaria ou procedimentos de segurança dentro de sua área de atuação, comunicando o fato a ASTIM.

24. O descumprimento das disposições desta Portaria caracterizará infração ao dever de desempenhar com zelo e presteza os trabalhos de que foi incumbido, prevista no inciso III do art. 178 da Lei 8.989, de 29 de outubro de 1979, a ser apurada em processo administrativo disciplinar, sem prejuízo da responsabilidade penal e civil, em especial, quando ocorrer:

a) o acesso imotivado de usuário aos sistemas informatizados de SF;

b) a quebra de sigilo funcional com a divulgação de dados obtidos dos sistemas informatizados a terceiros ou a funcionários de SF e usuários em geral que não estejam envolvidos nos trabalhos objeto das consultas; e,

c) a falta de cuidado na guarda e utilização da senha ou empréstimo a outro funcionário, ainda que habilitado.

DAS DISPOSIÇÕES FINAIS

25. Os aspectos de segurança específicos de cada sistema poderão ser regulados em atos próprios, expedidos pela ASTIM com apoio dos respectivos Gestores de Sistema.

26. Fica instituída a Comissão Permanente de Tecnologia de Informação - CPTI de SF, com as seguintes atribuições:

a) auxiliar ASTIM a formular as normas complementares informacionais de SF;

b) divulgar as políticas de informática nas unidades de SF;

c) manter e aprimorar a Política de Segurança de SF aplicadas às atividades de proteção da informação eletrônica de SF; e,

d) manter lista de discussão aberta sobre a aplicação das Normas de Segurança Informacional em SF.

§ 1º. A CPTI se comporá de 5 (cinco) representantes, respectivamente indicados por cada uma das seguintes unidades: Coordenadoria de Administração (COADM), Auditoria Geral (AUDIG), Subsecretaria da Receita Municipal (SUREM), Subsecretaria do Tesouro Municipal (SUTEM), e Assessoria de Tecnologia de Informação e Modernização (ASTIM).

§ 2º. A CPTI será coordenada pelo representante de ASTIM.

27. Esta Portaria entrará em vigor na data de sua publicação.