INSTRUÇÃO NORMATIVA Nº 1.019/10-GSF, DE 23 DE DEZEMBRO DE 2010.
(PUBLICADA NO DOE de 28.12.10)
Este texto não substitui o publicado no DOE.
Dispõe sobre a Política de Segurança da Informação na Secretaria da Fazenda.
O SECRETÁRIO DA FAZENDA DO ESTADO DE GOIÁS, no uso de suas atribuições, tendo em vista o disposto no art. 6º, VII, da Lei nº 16.272, de 30 de maio de 2008, e a necessidade de se estabelecer regramentos sobre a Política de Segurança da Informação desta Pasta, resolve baixar a seguinte
INSTRUÇÃO NORMATIVA:
Art. 1º Fica instituída a Política de Segurança da Informação da Secretaria da Fazenda do Estado de Goiás, que consiste na normatização e no disciplinamento de mecanismos que promovam a integridade da estrutura de rede na qual trafegam informações e dados comuns ou restritos, nela incluídos os equipamentos que armazenam tais informações.
§ 1º A Política de Segurança da Informação:
I - é constituída por um conjunto de diretrizes e normas que estabelecem os princípios de proteção, controle e monitoramento das informações processadas, armazenadas ou custodiadas pelas unidades administrativas da Secretaria da Fazenda;
II - é aplicável a todos os bens e serviços e a todo o pessoal que se utiliza dos recursos de Tecnologia da Informação -TI -, no âmbito da Secretaria da Fazenda.
§ 2º Para fins desta Instrução, considera-se Segurança da
Informação o conjunto de políticas, normas e procedimentos que objetivam o
controle de acesso, a preservação da autenticidade, confiabilidade,
confidencialidade, disponibilidade, privacidade, integridade dos dados e
responsabilidade das informações e dos recursos de Tecnologia da Informação –
TI.
Art. 2º Os documentos produzidos na Secretaria da Fazenda, com a utilização dos recursos de Tecnologia da Informação - TI -, são de propriedade da SEFAZ, assim como programas, códigos, aplicações, soluções ou serviços.
Parágrafo único. As informações de propriedade ou sob custódia da SEFAZ devem ser utilizadas apenas no estrito interesse desta, não podendo os usuários a qualquer tempo ou sob qualquer pretexto, apropriar-se dessas informações ou transmiti-las para fora do âmbito da Secretaria, salvo em situações específicas e com autorização expressa da chefia correspondente.
Art. 3º A Superintendência de Gestão da Tecnologia da Informação - SGTI - se reserva o direito de monitorar o tráfego e o conteúdo das redes de comunicação da SEFAZ, incluindo o acesso à Internet e o uso do correio eletrônico.
Parágrafo único. A SGTI é também responsável:
I - pela definição, aplicação e fiscalização da Política de Segurança da Informação na Secretaria da Fazenda;
II - por implementar, por meio da expedição de atos
normativos complementares, a aplicação dessa política.
Art. 4º Quando razões tecnológicas ou determinação superior tornarem impossível o uso apropriado de controles mínimos adequados à garantia da segurança dos ativos, devem ser implantadas medidas alternativas aprovadas e devidamente documentadas que minimizem os riscos.
Parágrafo único. Para fins desta Instrução, considera-se
ativo “qualquer coisa que tenha valor para a organização” (NBR ISO/IEC
17799/2005), abrangendo, desse modo, tanto elementos de hardware quanto de
software que desempenhem papéis relevantes no funcionamento da estrutura de TI
desta Pasta.
Art. 5º As
condições e termos de licenciamento de software e os direitos de propriedade
intelectual devem ser respeitados conforme legislação específica vigente.
Art. 6º A
instalação e o uso de sistemas e equipamentos relacionados à tecnologia da
informação devem ser previamente homologados e autorizados pela
Superintendência de Gestão da Tecnologia da Informação.
Art. 7º Todo
equipamento deve ser inventariado e classificado para indicar sua importância e
nível de proteção, com identificação do
responsável sobre o mesmo.
Art. 8º Todas as
informações devem ser classificadas pelo gerador ou custodiante da informação
quanto à sua criticidade, de maneira a possibilitar a proteção adequada.
Art. 9º Os ativos
críticos devem ser mantidos em área segura, protegidos por um perímetro de segurança
definido e acesso controlado, com obediência às normas de acesso físico ao CPD.
Art. 10. Os ativos considerados críticos devem ser redundantes e possuir plano de continuidade elaborado pela equipe responsável pelo ativo, para manutenção dos serviços.
Parágrafo único. Somente os responsáveis pelo ativo devem
possuir credenciais de acesso administrativo aos mesmos.
Art. 11. As
credenciais de acesso administrativo devem ser de cunho pessoal e, não sendo
possível atender a este requisito, ser acessíveis apenas após autenticação em
conta pessoal, de forma a garantir a rastreabilidade.
Art. 12. Os
ativos de rede, em suas configurações, devem possuir política do tipo
restritiva como opção padrão.
Art. 13. Os
procedimentos operacionais devem ser documentados, executados e estar sob a
responsabilidade de um núcleo, supervisão ou gerência.
Art. 14. Para
terem acesso às informações que não sejam classificadas como públicas, os
usuários devem firmar compromisso, em termo de sigilo e responsabilidade quanto
ao uso correto dos recursos e informações, os quais terão acesso autorizado,
assim como quanto à ciência das diretrizes, normas e penalidades previstas por
esta Política de Segurança.
Art. 15. A aplicação da Política de Segurança é obrigatória para todos os que utilizam os recursos de Tecnologia da Informação de propriedade ou sob controle da Secretaria da Fazenda, cabendo-lhes:
I - observar e seguir rigorosamente a Política de Segurança da Informação;
II - fazer uso dos recursos colocados a sua disposição apenas para finalidades específicas que forem alinhadas aos objetivos da SEFAZ;
III - assegurar que as senhas de acesso aos recursos computacionais não sejam compartilhadas ou se tornem públicas por conveniência ou descuido do portador, procedendo à sua troca, imediatamente, em caso de suspeita de comprometimento das mesmas;
IV – notificar, com a maior brevidade possível, a chefia
imediata e a Gerência de Suporte Técnico da SGTI, ao tomar conhecimento de
qualquer incidente de segurança.
Art. 16. São responsabilidades dos superintendentes, gerentes, supervisores e outros titulares de funções de chefia ou de assessoramento superior na Secretaria da Fazenda:
I – discutir e propor mudanças na Política de Segurança da Informação da SEFAZ;
II - cumprir e fazer cumprir a Política de Segurança em relação aos seus subordinados;
III - disponibilizar os recursos necessários à implantação da Política de Segurança da Informação;
IV - apoiar ativamente a execução da Política de Segurança
da Informação na SEFAZ.
Art. 17. Devem ser precedidos de autorização ou licença da Superintendência de Gestão da Tecnologia da Informação - SGTI -, mediante solicitação formal do interessado:
I - o acesso à rede SEFAZ, via Virtual Private Network (VPN), que deve ser feito de acordo com os critérios e procedimentos específicos estabelecidos pela SGTI;
II - o acesso a redes externas à rede SEFAZ ou à Internet que deve ser feito, exclusivamente, pelos meios autorizados e configurados pela área especializada da SGTI ou sob sua supervisão, sendo vedado o uso de qualquer forma de conexão alternativa;
IV - o uso, nas dependências da SEFAZ, de equipamentos de informática que não sejam de responsabilidade desta.
§ 1º No caso de utilização de microcomputadores portáteis pertencentes à SEFAZ e de retirada de equipamentos de suas dependências, o usuário fica responsável pela guarda, conservação e utilização dos respectivos equipamentos, enquanto a licença estiver em seu nome.
§ 2º Os usuários autorizados a utilizar equipamentos de
informática que não sejam de responsabilidade da SEFAZ devem observar, em
relação à utilização dos equipamentos instalados, o disposto nesta Instrução.
Art. 18. É responsabilidade da Superintendência de Administração e Finanças - SAF -, por meio do seu setor de gestão de pessoas:
I - notificar a SGTI quando do afastamento ou desligamento de servidor ou funcionário para o cancelamento ou alteração imediata dos direitos de acesso e uso da informação no âmbito da SEFAZ;
II - providenciar que os servidores ingressantes tenham
conhecimento desta Política de Segurança.
Art. 19. A
constatação de descumprimento das determinações da Política de Segurança da
Informação da Secretaria da Fazenda deve ser reportada à chefia imediata do
infrator e à Corregedoria Fiscal, que decidirão, resguardados seus limites de
atuação e de forma independente, sobre as penalidades a serem aplicadas, sem
qualquer prejuízo de outras.
Art. 20. Fica o Superintendente de Gestão da Tecnologia da Informação autorizado a expedir normas procedimentais, bem como definir atribuições de competências necessárias à implementação da Política de Segurança da Informação da Secretaria da Fazenda, visando, especialmente, por meio de sua estrutura complementar:
I - elaborar as seguintes normas:
a) norma para criação de contas de acesso, que contemple níveis de complexidade, tempo de expiração e regras de bloqueio e procedimento para desbloqueio;
b) norma para manutenção de estações de trabalho, que contemple controle do parque computacional, homologação de softwares e utilização de antivírus;
c) norma de acesso físico ao CPD, que defina o perímetro a ser protegido além de regras de acesso e controle;
d) norma para manutenção de backup;
e) norma para o uso da internet;
f) norma para o uso do correio eletrônico;
g) norma para os ambientes de homologação que represente o ambiente para os testes dos aplicativos com massa de dados descaracterizada e semelhante ao ambiente de produção, bem como contemple a transferência de objetos do ambiente de homologação/testes para o ambiente de produção;
h) norma para acesso remoto;
i) norma para retenção de logs e informações de utilização de serviços e ativos;
j) norma para uso de equipamentos pessoais;
l) demais normas que forem necessárias para aplicação desta Política de Segurança;
II - elaborar, propor alterações e revisar periodicamente a Política de Segurança da SEFAZ;
III - administrar mecanismos e controles de segurança dos ativos, recursos ou sistemas sob sua guarda ou responsabilidade, observando as orientações da Política de Segurança, suas normas ou as melhores práticas de segurança;
IV - assegurar que as senhas de acesso aos serviços sob sua responsabilidade estejam de conformidade com a norma para criação de contas de acesso;
V - garantir que as trocas de ativos sob sua responsabilidade e outras organizações sejam controladas, observando os trâmites pertinentes;
VI - recomendar o uso de técnicas e sistemas criptográficos para proteção de ativos considerados de risco e para os quais outros controles não sejam suficientes;
VII - exigir que, para acesso aos recursos e sistemas, todos os usuários tenham identificador de uso pessoal e intransferível que permita de maneira clara e indiscutível o seu reconhecimento, em conformidade com a norma para criação de contas de acesso;
VIII - assegurar que qualquer alteração em dados contidos nos Sistemas de Gerenciamento de Banco de Dados, em produção, seja feita por meio de sistemas adequados, evitando intervenções diretas;
IX - elaborar e manter planos de contingência e recuperação de informações e serviços considerados críticos;
X - coordenar a execução da Política de Segurança da Informação;
XI - conduzir avaliações e auditorias para assegurar a aderência à Política de Segurança da Informação;
XII - propor programas de treinamento e de conscientização em Segurança da Informação;
XIII - agregar ao processo de desenvolvimento de software as melhores práticas de segurança;
XIV - assegurar que os softwares desenvolvidos possuam controle apropriado e trilhas de auditoria ou registro de atividades;
XV - criar procedimentos que visem controlar e conhecer a estrutura de rede física, a fim de permitir a rápida identificação e localização de quaisquer ativos existentes, no menor espaço de tempo possível;
XVI - monitorar o tráfego de rede;
XVII - planejar ações ou projetos que tenham como produto o incremento da segurança da informação, além de participar do planejamento de outros projetos, onde se faz necessária a observância de aspectos de segurança;
XVIII - executar atividades ou administrar recursos que sejam relacionados à segurança da informação;
XIX - fiscalizar atividades e recursos quanto aos requisitos de segurança previstos nesta Política ou quanto às melhores práticas de segurança;
XX - definir estratégias para a implantação da Política de Segurança da Informação da Secretaria da Fazenda;
XXI - auxiliar os responsáveis técnicos a identificar e definir as informações críticas e os requerimentos de confidencialidade, integridade, disponibilidade e autenticidade dos ativos de informação sob controle ou custódia da SEFAZ;
XXII - participar das decisões relacionadas a qualquer violação de segurança dos ativos sob controle ou custódia da SEFAZ;
XXIII - encaminhar solicitação dos recursos necessários para implantação da Política de Segurança da Informação;
XXIV - apurar incidentes de segurança e, em caso de
comprovada omissão ou desrespeito a esta Política, encaminhar os fatos à chefia
do infrator e à Corregedoria Fiscal.
Art. 21. Os casos
omissos e as dúvidas surgidas na aplicação do disposto na Política de Segurança
da Secretaria da Fazenda devem ser dirimidos pela Superintendência de Gestão da
Tecnologia da Informação, com a interveniência da Corregedoria Fiscal nas
situações que requeiram a atuação desta.
Art. 22. Fica
revogada a Instrução Normativa nº 874/07-GSF, de
26 de setembro de 2007.
Art. 23. Esta Instrução entra em vigor na data de sua publicação
GABINETE DO SECRETÁRIO DA FAZENDA DO ESTADO DE GOIÁS, em Goiânia, aos 23
dias do mês de dezembro de 2010.
CÉLIO CAMPOS DE FREITAS JÚNIOR
Secretário da Fazenda