Español
EnglishResolução nº 018, de 17 de dezembro de 2015
Resolução nº 018, de 17 de dezembro de 2015
O Presidente em exercício do Conselho de Administração, no uso de suas atribuições legais que lhe confere o Art. 47 do Regimento Geral da Universidade Federal do Acre, e de acordo com decisão tomada em reunião plenária realizada nesta data, referente ao Processo nº 23107.011021/2015-52;
R E S O L V E:
Art. 1º - Aprovar as normas da Política de Segurança da Informação e Comunicação (PoSIC), da Universidade Federal do Acre, elaboradas pelo Comitê Gestor de Segurança da Informação (CGSI), conforme anexo único desta Resolução.
Art. 2º – Esta Resolução entra em vigor a partir da presente data, revogando-se as disposições em contrário.
Registre-se, Publique-se, Cumpra-se.
Prof. Dr. Josimar Batista Ferreira
Reitor em exercício
ANEXO ÚNICO
Resolução nº 018, de 17 de dezembro de 2015
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES - PoSIC
A Política de Segurança da Informação e Comunicações (PoSIC) tem a finalidade de garantir a disponibilidade, integridade, confidencialidade e autenticidade das informações e comunicações produzidas ou custodiadas pela Universidade Federal do Acre (Ufac), em conformidade com o Decreto no 3.505, de 13 de junho de 2000, que institui a Política de Segurança da Informação nos órgãos e entidades da Administração Pública Federal.
1. Escopo
1.1. A Ufac deve observar as diretrizes, princípios, competências e responsabilidades estabelecidos nesta PoSIC;
1.2. Integram também a PoSIC as normas e os procedimentos complementares destinados à proteção da informação e à disciplina de sua utilização;
1.3. As diretrizes, normas complementares e manuais de procedimentos da PoSIC da Ufac aplicam-se a servidores docentes e técnico-administrativos, discentes, pesquisadores conveniados, prestadores de serviço, colaboradores, estagiários, consultores externos e a quem, de alguma forma, execute atividades vinculadas a esta Universidade;
1.4. Os contratos, convênios, acordos e outros instrumentos congêneres celebrados pela Ufac devem atender a esta PoSIC;
1.5. Esta política também se aplica, no que couber, ao relacionamento da Ufac com terceiros.
2. Conceitos e Definições
No âmbito da PoSIC considera-se:
2.1. Agente responsável pela Equipe de Tratamento e Resposta a Incidentes de Segurança da Informação e Comunicações: servidor público ocupante de cargo efetivo de órgão ou entidade da Administração Pública Federal incumbido de chefiar e gerenciar questões relacionadas à SIC;
2.2. Ameaça: evento que tem potencial em si próprio para comprometer os objetivos da organização, seja trazendo danos diretos aos ativos ou prejuízos decorrentes de situações inesperadas;
2.3. Ativos de informação: os meios de produção, armazenamento, transmissão e processamento de informações, os sistemas de informação, além das informações em si, bem como os locais onde se encontram esses meios e as pessoas que a eles têm acesso;
2.4. Autenticidade: propriedade de que a informação foi produzida, expedida, modificada ou destruída por uma determinada pessoa física, ou por um determinado sistema, órgão ou entidade;
2.5. Comitê Gestor de Segurança da Informação - CGSI: colegiado de caráter deliberativo responsável pela normatização e supervisão da segurança da informação e comunicações no âmbito da Ufac;
2.6. Confidencialidade: propriedade de que a informação não esteja disponível ou revelada à pessoa física, sistema, órgão ou entidade não autorizado e credenciado;
2.7. Conscientização em SIC: saber o que é segurança da informação e comunicações aplicando em sua rotina pessoal e profissional, além de servir como multiplicador sobre o tema;
2.8. Controle de acesso: conjunto de procedimentos, recursos e meios utilizados com a finalidade de conceder ou bloquear o acesso;
2.9. Custodiante do ativo de informação: é aquele que, de alguma forma, zela pelo armazenamento, operação, administração e preservação de ativos de informação que não lhe pertencem, mas que estão sob sua custódia;
2.10. Disponibilidade: propriedade de que a informação esteja acessível e utilizável, sob demanda, por uma pessoa física ou determinado sistema, órgão ou entidade no momento requerido;
2.11. Equipe de Tratamento e Resposta a Incidentes de Segurança da Informação e Comunicações: membros do Comitê Gestor de Segurança da Informação e/ou por ele indicado, com responsabilidade de receber, analisar e responder às notificações e atividades relacionadas a incidentes de segurança da informação e comunicações no âmbito da Ufac;
2.12. Especialista em SIC: servidor dotado de conhecimentos na área de segurança da informação e comunicações com aplicação em sua rotina pessoal e profissional, servindo como multiplicador sobre o tema, aplicando os conceitos e procedimentos na organização como gestor de SIC e tornando-se referência na pesquisa de novas soluções e modelos de SIC;
2.13. Estrutura de GSI: grupo responsável pela gestão e execução da SIC;
2.14. Gestão de ativos: processo de identificação dos ativos e de definição de responsabilidades pela manutenção apropriada dos controles desses ativos;
2.15. Gestão de riscos de segurança da informação e comunicações - GRSIC: conjunto de processos que permite identificar e implementar as medidas de proteção necessárias para minimizar ou eliminar os riscos a que estão sujeitos os ativos de informação;
2.16. Gestão de segurança da informação e comunicações - GSIC: ações e métodos que visam à integração das atividades de gestão de riscos, gestão de continuidade do negócio, tratamento de incidentes, tratamento da informação, conformidade, credenciamento, segurança cibernética, segurança física, segurança lógica, segurança orgânica e segurança organizacional aos processos institucionais estratégicos, operacionais e táticos, não se limitando, portanto, no âmbito da tecnologia da informação e comunicações;
2.17. Gestor dos ativos de informação: unidade administrativa responsável por gerenciar determinado segmento de informação e todos os ativos relacionados;
2.18. Gestor de SIC: servidor nomeado pelo Reitor da Ufac como responsável pela gestão de segurança da informação e comunicações no âmbito do órgão;
2.19. Incidente de SIC: evento que tenha causado algum dano, colocado em risco algum ativo de informação crítico ou interrompido a execução de alguma atividade crítica por um período de tempo inferior ao tempo objetivo de recuperação;
2.20. Informação: conjunto de dados, textos, imagens, métodos, sistemas ou quaisquer formas de representação dotadas de significado em determinado contexto, independentemente do suporte em que resida ou da forma pela qual seja veiculado;
2.21. Infraestrutura de TI: instalações prediais (energia, água, climatização, acesso físico), computadores e equipamentos, software, redes e telecomunicações, sistemas de armazenamento e recuperação de dados (arquivos e armazenamento), aplicações computacionais, cabeamento e rede telefônica;
2.22. Integridade: propriedade de que a informação não foi modificada, suprimida ou destruída de maneira não autorizada ou acidental;
2.23. Quebra de segurança: ação ou omissão, intencional ou acidental, que resulta no comprometimento da segurança da informação e das comunicações;
2.24. Risco de SIC: potencial associado à exploração de uma ou mais vulnerabilidades de um ativo de informação ou de um conjunto de tais ativos, por parte de uma ou mais ameaças, com impacto negativo no funcionamento da organização;
2.25. Segurança física e do ambiente: processo que trata da proteção de todos os ativos físicos da instituição, englobando instalações físicas, internas e externas, em todas as localidades em que a organização está presente;
2.26. Terceiros: quaisquer pessoas, físicas ou jurídicas, de natureza pública ou privada, externos à Ufac;
2.27. Tratamento de incidentes: é o processo que consiste em receber, filtrar, classificar e responder às solicitações e alertas e realizar as análises dos incidentes de segurança, procurando extrair informações que permitam impedir a continuidade da ação maliciosa e também a identificação de fragilidades;
2.28. Tratamento da informação: conjunto de ações referentes à recepção, produção, reprodução, utilização, acesso, transporte, transmissão, distribuição, armazenamento, eliminação e controle da informação;
2.29. Vulnerabilidade: fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças.
3. Princípios
3.1. A PoSIC deve orientar-se pelos seguintes princípios da SIC: autenticidade, confidencialidade, disponibilidade, integridade e legalidade;
3.2. A PoSIC deve obedecer aos princípios constitucionais, administrativos e do arcabouço legislativo vigente que regem a Administração Pública Federal;
3.3. A PoSIC deve considerar objetivos estratégicos, processos, requisitos legais e estrutura da Ufac;
3.4. A PoSIC deve visar à eficiência, eficácia e efetividade das atividades de Segurança da Informação e Comunicações.
4. Diretrizes Gerais
4.1. Todos são responsáveis e devem estar comprometidos com a segurança da informação e comunicações;
4.2. O cumprimento desta política da segurança e comunicações e de suas normas complementares deverá ser avaliado periodicamente por meio de verificações de conformidade, realizadas por grupo de trabalho formalmente constituído pelo Comitê Gestor de Segurança da Informação - CGSI, buscando a certificação do cumprimento dos requisitos de segurança da informação e comunicações e garantia de cláusula de responsabilidade e sigilo;
4.3. Cabe à Diretoria de Desempenho e Desenvolvimento - DDD, com o apoio do Núcleo de Tecnologia da Informação - NTI, e demais unidades pertinentes, instituir programas permanentes e regulares de conscientização, sensibilização e capacitação em SIC, buscando parcerias com outros órgãos e entidades;
4.4. Os gestores dos ativos de informação e o Comitê Gestor de Segurança da Informação serão solidariamente responsáveis pelas seguintes atividades:
a) executar os processos de segurança da informação e comunicações;
b) desenvolver, implementar e monitorar estratégias de segurança que atendam aos objetivos estratégicos da UFAC;
c) avaliar, selecionar, administrar e monitorar controles apropriados de proteção dos ativos de informação e desenvolver ações de conscientização dos usuários a respeito da implementação desses controles;
d) fornecer subsídios visando à verificação de conformidade de segurança da informação e comunicações;
e) promover a melhoria contínua nos processos e controles de GSIC.
4.5. Cabe ao titular das unidades administrativas e/ou acadêmicas:
a) definir processos de atividades que preservem os ativos de informação;
b) propor ao CGSI atualizações a normas e à Política de Segurança da Informação e Comunicações, de acordo com legislação em vigor;
c) corresponsabilizar-se pelas ações realizadas por aqueles que estão sob sua responsabilidade;
d) conscientizar os usuários sob sua supervisão em relação aos conceitos e às práticas de SIC;
e) incorporar aos processos de trabalho de sua unidade, ou de sua área, práticas inerentes à SIC;
f) tomar as medidas administrativas necessárias para que sejam aplicadas ações corretivas nos casos de comprometimento da SIC por parte dos usuários sob sua supervisão;
g) autorizar, de acordo com a legislação vigente, a divulgação das informações produzidas na sua unidade administrativa;
h) comunicar os casos de quebra de segurança à equipe de tratamento a incidentes;
i) manter lista atualizada dos ativos de informação sob sua responsabilidade com seus respectivos gestores.
5. Diretrizes Específicas de Segurança da Informação e Comunicações
5.1. Utilização dos Recursos de Tecnologia da Informação e Comunicações:
a) a utilização de recursos de tecnologia da informação e comunicações pelos integrantes da comunidade universitária deve ocorrer apenas no desempenho das atividades diretamente relacionadas ao ensino, pesquisa e extensão da Ufac;
b) deve-se evitar o uso de caráter pessoal em unidades de trabalho da Ufac, dessa forma, não é de responsabilidade do corpo técnico responsável preservar dados pessoais em estações de trabalho que necessitem de manutenção;
c) o uso de recursos de tecnologia da informação e comunicações (internet, e-mail institucional, sistemas de informação, softwares, contas de acesso, etc.) da Universidade será regulamentado em normas específicas, respeitando-se os dispositivos legais.
5.2. Acesso e utilização da informação:
a) o acesso e uso da informação são garantidos a todo e qualquer cidadão, ressalvadas as informações pessoais e as hipóteses de sigilo legalmente estabelecidas, em conformidade com a Seção II da Lei nº 12.527/2011, que trata da classificação da informação.
6. Penalidades
Ações que violem a PoSIC ou quaisquer de suas diretrizes, normas e procedimentos ou que quebrem os controles de SIC serão devidamente apuradas e aos responsáveis serão aplicadas as sanções previstas na legislação em vigor.
7. Atualização
Esta PoSIC, bem como os documentos gerados a partir dela, deverá ser atualizada, sempre que se fizer necessário, sob responsabilidade do CGSI, com o objetivo de atender às exigências da legislação em vigor e/ou das transformações internas da instituição, não excedendo o período máximo de 03 (três) anos, conforme Norma Complementar 03/IN01/DSIC/GSIPR, de 30 de junho de 2009.
Documentos de Referência
I. Art. 5º da Constituição Federal de 1988.
II. Decreto nº 3.505, de 13 de junho de 2000.
III. Decreto nº 7.845, de 14 de novembro de 2012.
IV. Instrução Normativa GSI/PR nº 1, de 13 de junho de 2008.
V. Lei de Acesso à Informação – nº 12.527/2011.
VI. Marco Civil da Internet – Lei nº 12.965/2014.
VII. Norma Complementar 01/IN01/DSIC/GSIPR.
VIII. Norma Complementar 02/IN01/DSIC/GSIPR.
IX. Norma Complementar 03/IN01/DSIC/GSIPR.
X. Norma Complementar 04/IN01/DSIC/GSIPR.
XII. Norma Complementar 20/IN01/DSIC/GSIPR.