Namere da Norma Complementar [Revisto | Emisste] Folha 03/INO1/DSIC/GSIPR 00 | 30NUN/09] 1/5 PRESIDENCIA DA REPUBLICA DIRETRIZES PARA ELABORACAO DE POLITICA DE SEGURANGA DA INFORMACAO E COMUNICACOES NOS ORGAOS F ENTIDADES DA ADMINISTRACAO PUBLICA FEDERAL Gi ete de Seguranga Institucior tamento de Seguranga da Informacso Comunicagées ORIGEM Departamento de Seguranga da Informacio e Comunicagies REFERENCIA LEGAL E NORMATIVA Art. 6° da Lei n° 10.683, de 28 de maio de 2003. Art. 8° do Anexo I do Decreto n° 5.772, de 8 de maio de 2006. Decreto n” 3.505, de 13 de junho de 2000. Instrucao Normativa n° 01 do Gabinete de Seguranga Institucional, de 13 de junho de 2008. NBR ISO/IEC 27002:2007. NBR ISO/IEC 270052008. Decreto n° 1048, de 21 de janeiro de 1994, Decreto de 18 de outubro de 2000 - Governo Eletrénico, Decreto n” 4553, de 27 de dezembro de 2002. Art 5° Inciso III da Instrugio Normativa n° 04 da Secretaria de Logistica ¢ Tecnologia da Informagio/MPOG, de 19 de maio de 2008. e-PING - Padrdes de Interoperabilidade de Governo Eletrdnico, de 16 de dezembro de 2008 CAMPO DE APLICACAO. Esta Norma Complementar se aplica no Ambito da Administracao Pablica Federal, direta ¢ indireta. SUMARIO 1. Objetivo 2. Consideragées iniciais 3. Fundamento Legal da Norma Complementar 4, Conceitos e Definigies Elaboragio da POSIC 6, Institucionalizacao da POSIC 7. Divulgagao da POSIC 8. Atualizagao da POSIC 9. Vigéncia INFORMACOES ADICIONAIS Nato ha APROVAGAO RAPHAEL MANDARINO JUNIOR Diretor do Departamento de Seguranga da Informacio ¢ ComunicagoesNumero ds Norma Complementar [Revivio | Emissio] FoThw 03/INO1/DSIC/GSIPR 00 | 30NUN/09] 2/5 1 OBJETIVO Estabelecer diretrizes, critérios e procedimentos para elaboragdo, institucionalizagdo, divulgagao © atualizagao da Politica de Seguranga da Informagdo © Comunicagdes (POSIC) nos érgdos entidades da Administragdo Publica Federal, direta e indireta - APF. 2 CONSIDERAGOES INICIAIS 2.1 A Politica de Seguranga da Informa¢ao e ComunicagGes declara 0 comprometimento da alta dirego organizacional com vistas a prover diretrizes estratégicas, responsabilidades, competéncias e o apoio para implementar a gestio de seguranga da informagdo e comunicagdes nos 6rgaos ou entidades da Administragao Publica Federal, direta e indireta; 2.2 As diretrizes constantes na Politica de Seguranga da Informagdo e Comunicagées no ambito do 6rgio ou entidade visam viabilizar e assegurar a disponibilidade, integridade, confidencialidade e autenticidade da informagio. 3. FUNDAMENTO LEGAL DA NORMA COMPLEMENTAR Conforme disposto no inciso II do art. 3° da Instrugo Normativa n° 01, de 13 de Junho de 2008, do Gabinete de Seguranca Institucional, compete ao Departamento de Seguranga da Informagao e Comunicagdes - DSIC, estabelecer normas definindo os requisitos metodolégicos para implementagdo da Gestiio de Seguranga da Informago e Comunicagées pelos érgios e entidades da Administragao Piblica Federal, direta e indireta. 4 CONCEITOS E DEFINICOE:! Para os efeitos desta Norma Complementar sio estabelecidos os seguintes conceitos e definigdes: 4,1 Comité de Seguranga da Informacio e Comunicagées: grupo de pessoas com a responsabilidade de assessorar a implementago das agdes de seguranga da informagio e comunicagdes no ambito do érgao ou entidade da APF; 4.2 Equipe de Tratamento ¢ Resposta a Incidentes em Redes Computacionais (ETIR): grupo de pessoas com a responsabilidade de receber, analisar e responder a notificagdes e atividades relacionadas a incidentes de seguranga em computadores; 4.3 Gestor de Seguranga da Informagio e Comunicagdes: é responsivel pelas agdes de seguranga da informagdo e comunicagdes no Ambito do érgio ou entidade da APF; 4.4 Politica de Seguranga da Informagio e Comunicagées (POSIC): documento aprovado pela autoridade responsavel do érgio ou entidade da APF, com o objetivo de fornecer diretrizes, critérios e suporte administrativo suficientes 4 implementagdo da seguranga da informagio e comunicagdes;Numero ds Norma Complementar [Revivio | Emissio] FoThw 03/INO1/DSIC/GSIPR 00 =| 30NUN/09] 3/5 4.5 Quebra de Seguranga: aco ou omissio, intencional ou acidental, que resulta no comprometimento da seguranga da informagdo e das comunicagSes. 5 ELABORACAO DA POSIC 5.1 Recomenda-se que para a elaboragio da POSIC seja instituido um Grupo de Trabalho constituido por representantes dos diferentes setores do drgio ou entidade da APF, como por exemplo: seguranga patrimonial, tecnologia da informagio, recursos humanos, juridico, financeiro e planejamento; 5.2 A elaboragéo da POSIC deve levar em consideragao a natureza e finalidade do érgéo ou entidade da APF, alinhando-se sempre que possivel a sua missdo e ao planejamento estratégico; 5.3 Recomenda-se que na elaboracao da POSIC sejam incluidos os seguintes iter 5.3.1 Eseopo: neste item recomenda-se descrever 0 objetivo e abrangéncia da Politica de Seguranga da Informag&o e Comunicagées, definindo o limite no qual as agdes de seguranga da informago e comunicagdes serdo desenvolvidas no érgio ou entidade da APF; 5.3.2 Conceitos e definigées: neste item recomenda-se relacionar todos os conceitos e suas definigdes a serem utilizados na Politica de Seguranga da Informagdo e Comunicagdes do érgio ou entidade da APF que possam gerar dificuldades de interpretagGes ou significados ambiguos; 3.3 Referéncias legais e normativas: neste item recomenda-se relacionar as referéncias legais © normativas utilizadas para a claboragio da Politica de Seguranga da Informagio © Comunicagées do érgdo ou entidade da APF; 5.3.4 Prineipios: neste item recomenda-se relacionar os prinejpios que regem a seguranga da informago e comunicagées no érgio ou entidade da APF; 5.3.5 Diretrizes Gerais: neste item recomenda-se estabelecer diretrizes sobre, no minimo, os seguintes temas, considerando as Normas especificas vigentes no ordenamento juridico: a)Tratamento da Informagao; b)Tratamento de Incidentes de Rede; ©)Gestio de Risco; d)Gestéo de Continuidade; e) Auditoria e Conformidade; 1) Controles de Acesso; g)Uso de e-mail; ¢ h)Acesso a Internet, 5.3.6 Penalidades: neste item identificam-se as conseqiiéncias e penalidades para os casos de violagdo da Politica de Seguranga da Informagao e Comunicagdes ou de quebra de seguranga, devendo ser proposto um termo de responsabilidade;Numero ds Norma Complementar [Revivio | Emissio] FoThw 03/INO1/DSIC/GSIPR 00 =| 30NUN/9] 4/5 5.3.7 Competéneias e Responsabilidades: neste item recomendam-se os _seguintes procedimentos: 5.3.7.1 Definir a estrutura para a Gestio da Seguranga da Informagao ¢ Comunicagdes; 5.3.7.2 Instituir 0 Gestor de Seguranga da Informagdo ¢ Comunicagdes do érgio ou entidade da APF, dentre servidores piblicos civis ou militares, conforme 0 caso, com as seguintes responsabilidades: a) Promover cultura de seguranga da informago e comunicagses; b) Acompanhar as investigagdes e as avaliagdes dos danos decorrentes de quebras de seguranga; ©) Propor recursos necessdrios as agdes de seguranga da informagao e comunicagdes; 4) Coordenar 0 Comité de Seguranga da Informagdo e Comunicagdes e a Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais; ¢) Realizar e acompanhar estudos de novas tecnologias, quanto a possiveis impactos na seguranga da informagdo e comunicagdes; 4) Manter contato permanente ¢ estreito com o Departamento de Seguranga da Informagio Comunicagdes do Gabinete de Seguranga Institucional da Presidéncia da Republica para o trato de assuntos relativos a seguranga da informacdo e comunicagies; 2) Propor Normas e procedimentos relativos a seguranga da informagao e comunicagdes no Ambito do érgio ou entidade da APF. 5.3.7.3 Instituir 0 Comité de Seguranga da Informagio ¢ Comunicagdes do érgiio ou entidade da APF com as seguintes responsabilidades: a) Assessorar na implementagdo das ages de seguranga da informag&o e comunicagdes no érgio ou entidade da APF; b) Constituir grupos de trabalho para tratar de temas e propor solugdes especificas sobre seguranga da informago e comunicagées; & ©) Propor Normas ¢ Procedimentos intemos relativos & seguranga da informagio ¢ comunicagdes, em conformidade com as legislagdes existentes sobre o tema, 5.3.7.4 Instituir a Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais do Srgdo ou entidade da APF. 5.3.8 Atualizagao: neste item recomenda-se estabelecer a periodicidade da revisio da Politica de Seguranga da Informagio e Comunicagdes ou dos instrumentos normativos gerados a partir da propria POSIC, 5.4 A POSIC precisa ser objetiva, simples, de facil leitura e entendimento; 5.5 A POSIC poderd ser complementada por Normas ¢ Procedimentos que a referenciem. 6 INSTITUCIONALIZAGAO DA POSIC Para a institucionalizagdo da POSIC no érgio ou entidade da APF, sio recomendadas as seguintes ages:Nimere da Norma Complementar [Revivto | Emissio] FoThw 03/INO1/DSIC/GSIPR 00 | 30NUN/9] 5/5 6.1 Implementar a POSIC através da formalizagio e da aprovagio por parte da autoridade maxima responsivel pelo érgdo ou entidade da APF, demonstrando a todos os servidores usuarios 0 seu comprometimento; 6.2 Garantir a proviso dos recursos necessirios para a implementagdo da POSIC por parte do 6rgio ou entidade da APF; 6.3 Promover no érgio ou entidade da APF, a cultura de seguranga da informagio e comunicagées, por meio de atividades de sensibilizagdo, conscientizagio, capacitagio ¢ especializacao. 7 DIVULGAGAO DA POSIC A POSIC e suas atualizagdes deverdo ser divulgadas a todos os lores, usuarios, prestadores de servigo, contratados e terceirizados que habitualmente trabalham no érgio ou entidade da APF. 8 ATUALIZACAO DA POSIC Todos os instrumentos normativos gerados a partir da POSIC, incluindo a propria POSIC, devem ser revisados sempre que se fizer necessério, nfo excedendo 0 periodo maximo de 03(trés) anos. 9 VIGENCIA Esta Norma entra em vigor na data de sua publicagio,