Instrução Normativa nº 001, de 19.12.2016
imprimir
VOLTAR

INSTRUÇÃO NORMATIVA Nº 001, de 19 de dezembro de 2016.

 

Estabelece conceitos, definições e diretrizes normativas para efeitos da Política de Segurança da Informação, Equipamentos e das Comunicações - POSIEC.

 

O SUPERINTENDENTE DE PROJETOS TECNOLÓGICOS, no uso das atribuições que lhe conferem o art. 9º, inciso I, da Portaria SEFAZ nº 811, de 13 de setembro de 2016,

 

RESOLVE:

 

Art. 1o Para efeitos da Política de Segurança da Informação, Equipamentos e das Comunicações - POSIEC, considera-se:

 

Acesso Lógico – acesso às redes de computadores, sistemas e estações de trabalho por meio de autenticação;

 

Acesso Remoto – ingresso, por meio de uma rede, aos dados de um equipamento fisicamente distante da máquina do usuário;

 

ADSL (Assymetrical Digital Subscriber Line) – (Linha Digital Assimétrica para Assinante) tecnologia de transmissão que possibilita o transporte de voz e dados a alta velocidade por meio de rede telefônica convencional, analógica ou digital;

 

Ameaça – conjunto de fatores externos ou causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização;

 

Análise/Avaliação de Riscos – processo completo de análise de vulnerabilidade, probabilidade da ocorrência de um incidente de segurança e o impacto resultante do mesmo;

 

Ativo - qualquer bem, tangível ou intangível, que tenha valor para a organização;

 

Ativo da Informação – base de dados, documentos, meios de armazenamento, transmissão e processamento, sistemas de informação, bem como os locais onde se encontram esses meios e as pessoas que a eles têm acesso;

 

Ativo Sigiloso – quaisquer informações, conhecimentos, documentos, programas de computador e documentação, códigos fonte, relatórios, dados fiscais, financeiros ou cadastrais, registros, formulários, ferramentas, produtos, serviços, metodologias, pesquisa presente e futura, conhecimento técnico, planos de marketing e outros materiais tangíveis ou intangíveis, armazenados ou não, compilados ou reduzidos a termo, de forma física ou eletrônica, relacionados a SEFAZ/TO, contribuintes e uusuários;

 

Auditoria – verificação e avaliação dos sistemas e procedimentos internos com o objetivo de reduzir fraudes, erros, práticas ineficientes ou ineficazes;

Autenticação – ato de confirmar que algo ou alguém é autêntico, ou seja, uma garantia de que qualquer alegação de ou sobre um objeto é verdadeira;

 

Autenticidade – propriedade de que a informação foi produzida, expedida, modificada ou destruída por uma determinada pessoa física, ou por um determinado sistema, órgão ou entidade;

 

Banco de Dados (Base de Dados) – conjunto de arquivos relacionados entre si com registros organizados sobre pessoas, lugares, valores, pagamentos entre outras informações. São coleções organizadas de dados que se relacionam de forma a criar algum sentido (Informação) e dar mais eficiência durante uma pesquisa, estudo ou solução corporativa.

 

Biometria – uso de mecanismos de identificação para restringir o acesso a determinados lugares ou serviços. Exemplos de identificação biométrica: através da íris (parte colorida do olho), da retina (membrana interna do globo ocular), da impressão digital, da voz, do formato do rosto e da geometria da mão;

 

Bloqueio de Acesso – procedimento que tem por finalidade suspender temporariamente o acesso de um Usuário;

 

Bluetooth - tecnologia de transmissão de dados via sinais de rádio de alta frequência, entre dispositivos eletrônicos próximos;

 

Classificação da Informação - maneira de determinar como a informação vai ser tratada, protegida durante todo o seu ciclo de vida. Define níveis e critérios adequados de proteção das informações, garantindo a confidencialidade, conforme a importância de determinada informação para a organização;

 

Certificado Digital - arquivo eletrônico que contém um conjunto de informações referentes à pessoa (física ou jurídica) para a qual o certificado foi emitido, mais a chave pública referente a chave privada, de forma a constituir uma assinatura com validade jurídica que garante proteção às transações eletrônicas;

 

Comitê de Tecnologia da Informação - CTI – grupo de profisionais da SEFAZ/TO responsável por propor políticas, normas e diretrizes ligadas à tecnologia da informação, acompanhar e propor procedimentos de gerenciamento das demandas externas de outros órgãos, aprovar estratégias de acompanhamento, avaliação e fiscalização de investimentos em tecnologia, recepcionar, organizar, armazenar e tratar adequadamente as informações e incidentes encaminhados pela ETRI;

 

Confidencialidade – propriedade de que a informação não esteja disponível ou revelada à pessoa física, sistema, órgão ou entidade não autorizado e credenciado;

 

Contingência - descrição de medidas a serem tomadas por uma empresa, incluindo a ativação de processos manuais, para fazer com que seus processos vitais voltem a funcionar plenamente, ou num estado minimamente aceitável, o mais rápido possível, evitando assim uma paralisação prolongada que possa gerar maiores prejuízos à corporação;

Controle de Acesso - conjunto de procedimentos, recursos e meios utilizados com a finalidade de propiciar ou bloquear o acesso;

 

Cópia de Segurança (backup) – copiar dados em um meio separado do original, de forma a protegê-los de qualquer eventualidade. Essencial para reestabelecer dados perdidos e subsidiar a investigação de falhas, fragilidades, fraudes, etc.

 

Correio Eletrônico (e-mail) - ferramenta que permite compor, enviar e receber mensagens através de sistemas eletrônicos de comunicação;

 

Credenciais ou contas de acesso - permissões lógicas com identificação de usuário e senha concedidas pela SPT, que credencia e habilita determinado um usuário a ter acesso a sistemas da SEFAZ/TO;

 

Criptografia – princípios e técnicas para tornar as informações ininteligíveis, por meio de um processo de cifrar, de forma que possa ser conhecida apenas por seu destinatário (detentor da "chave secreta");

 

Dado –  representação de uma informação, organizada ou não, de modo que possa ser armazenada e processada por um computador;

 

Diretriz - descrição que orienta o que deve ser feito, e como, para se alcançar os objetivos estabelecidos nas políticas;

 

Disponibilidade - propriedade de que a informação esteja acessível e utilizável sob demanda por uma pessoa física ou determinado sistema, órgão ou entidade;

 

Download - (baixar) copiar arquivos de um servidor (site) na internet para um dispositivo (computador, tablet, etc);

 

Domínio - grupo de computadores e dispositivos interligados em rede, administrados como uma unidade, sujeitos a regras e procedimentos em comum e compartilhando o mesmo nome de domínio;

 

Equipe de Tratamento e Resposta a Incidentes - ETRI - grupo de profissionais da SPT com a responsabilidade de receber, analisar e responder às notificações e atividades relacionadas a incidentes de segurança em redes de computadores, subsidiando a SPT quanto as ações corretivas ou de contingência e, quando for o caso, encaminhando a apreciação do CTI;

 

Espelhamento – sistema de proteção de dados onde o conteúdo é replicado em tempo real. Todos os dados são duplicados entre as áreas de armazenamento disponíveis;

 

Extranet – rede de computadores privada, similar a intranet, com diferencial que é acessada por autenticação via equipamentos externos a rede interna da SEFAZ;

 

 

FTP (File Transfer Protocol) – (Protocolo de Transferência de Arquivo) é um protocolo da Internet para transferência de arquivos;

 

Gestão de Continuidade de Negócios - processo de gestão global que identifica as potenciais ameaças para uma organização e os impactos nas operações da instituição que essas ameaças, se concretizando, poderiam causar, e fornecendo e mantendo um nível aceitável de serviço face à rupturas e desafios à operação normal do dia-a-dia;

 

Gestão de Risco – conjunto de processos que permite identificar e implementar as medidas de proteção necessárias para minimizar ou eliminar os riscos a que estão sujeitos os seus ativos de informação, e equilibrá-los com os custos operacionais e financeiros envolvidos;

 

Gestão de Segurança da Informação, Equipamentos e Comunicações - conjunto de processos que permite identificar e implementar as medidas de proteção necessárias para minimizar ou eliminar os riscos a que estão sujeitos os seus ativos de informação, e equilibrá-los com os custos operacionais e financeiros envolvidos;

 

Hardware – parte física do computador, conjunto de componentes eletrônicos, circuitos integrados e periféricos, como a máquina em si, placas, impressora, teclado e outros dispositivos;

 

HTTP (Hyper Text Transfer Protocol) - (Protocolo de Transferência de Hipertexto) é uma linguagem para troca de informação entre servidores e clientes da rede;

 

HTTPS (HyperText Transfer Protocol Secure) – (Protocolo de Transferência de Hipertexto Seguro) é uma linguagem para troca de informação entre servidores e clientes da rede, com recursos de criptografia, autenticação e integridade;

 

Incidente de Segurança - qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança dos sistemas de computação ou das redes de computadores e comunicação;

 

Informação – dados, processados ou não, que podem ser utilizados para produção e transmissão de conhecimento, contidos em qualquer meio, suporte ou formato;

 

Informações Críticas - informações de extrema importância para a sobrevivência da instituição;

 

Informação Sigilosa - informação submetida temporariamente à restrição de acesso público em razão de sua imprescindibilidade para a segurança da sociedade e do Estado, e aquelas abrangidas pelas demais hipóteses legais de sigilo;

 

Integridade – propriedade de que a informação não foi modificada ou destruída de maneira não autorizada ou acidental;

 

Internet – rede mundial de computadores;

 

Internet Protocol – (Protocolo de Internet) é um protocolo de comunicação usado entre duas ou mais máquinas em rede para encaminhamento dos dados;

 

Intranet – rede de computadores privada que faz uso dos mesmos protocolos da Internet. Pode ser entendida como rede interna de alguma instituição em que geralmente o acesso ao seu conteúdo é restrito;

 

Log - termo utilizado para descrever o processo de registro de eventos relevantes num sistema computacional. Esse registro pode ser utilizado para reestabelecer o estado original de um sistema ou para que um administrador conheça o seu comportamento no passado. Um arquivo de log pode ser utilizado para auditoria e diagnóstico de problemas em sistemas computacionais;

 

Logon - Procedimento de identificação e autenticação do usuário nos Recursos de Tecnologia da Informação. É pessoal e intransferível;

 

Mensageiro instantâneo – (Instant Messenger) é uma aplicação que permite  o envio e o recebimento de mensagens em tempo real;

 

On line (em linha) estar disponível para acesso imediato, em tempo real;

 

Perfil de acesso - conjunto de atributos de cada usuário, definidos previamente como necessários para credencial de acesso;

 

Plano de Contingência - descrever as medidas a serem tomadas por uma empresa, incluindo a ativação de processos manuais, para fazer com que seus processos críticos voltem a funcionar plenamente, ou num estado minimamente aceitável, o mais rápido possível, evitando assim uma paralisação prolongada;

 

Plano de Continuidade de Negócios - documentação dos procedimentos e informações necessárias para que os órgãos ou entidades públicas mantenham seus ativos de informação críticos e a continuidade de suas atividades críticas em local alternativo num nível previamente definido, em casos de incidentes;

 

Peer-to-peer – (ponto a ponto) permite conectar o computador de um usuário a outro, para compartilhar ou transferir dados, como MP3, jogos, vídeos, imagens, entre outros;

 

POSIEC - Política de Segurança da Informação, Equipamentos e das Comunicações, tem o objetivo de fornecer diretrizes, critérios e suporte suficientes à implementação da segurança da informação e comunicações;

 

Protocolo - convenção ou padrão que controla e possibilita uma conexão, comunicação, transferência de dados entre dois sistemas computacionais. Método padrão que permite a comunicação entre processos, conjunto de regras e procedimentos para emitir e receber dados numa rede;

 

Proxy - serviço intermediário entre as estações de trabalho de uma rede e a Internet.  O servidor de rede proxy  serve para compartilhar a conexão com a Internet, melhorar o desempenho do acesso, bloquear acesso a determinadas páginas;

 

Quebra de segurança - ação ou omissão, intencional ou acidental, que resulta no comprometimento da Segurança da Informação, Equipamentos e das Comunicações;

 

Recursos Computacionais - recursos que processam, armazenam e/ou transmitem informações, tais como aplicações, sistemas de informação, estações de trabalho, notebooks, servidores, equipamentos de conectividade, dispositivos de entrada e saída de dados, acessórios, documentos e infraestrutura afim;

 

Rede Corporativa - conjunto de redes lógicas de transmissão de dados e informações entre diversos equipamentos da SEFAZ/TO;

 

Rede Pública – rede de acesso aberta a usuários internos e externos;

 

Replicação - manutenção de cópias idênticas de dados em locais diferentes. O objetivo de um mecanismo de replicação de dados é permitir a manutenção de várias cópias idênticas de um mesmo dado em vários sistemas de armazenamento;

 

Roteador – equipamento responsável pela troca de informações entre redes;

 

Sala Cofre – sala fortificada que pode ser instalada em uma instituição, provendo um local seguro contra invasões e outras ameaças. São ambientes projetados para resistir a vários tipos de catástrofes. Suportam, por exemplo, temperaturas de até 1.200 graus Celsius, inundações, cortes bruscos de energia, gases corrosivos, explosões e até ataques nucleares;

 

Sala Segura - sala que proporciona um ambiente seguro no Datacenter, oferecendo maior garantia no armazenamento de informações eletrônicas. Uma Sala Segura possui gerador próprio, instalação elétrica independente, paredes especiais, piso elevado, ar-condicionado, detecção e combate a incêndios, iluminação, sinalização de emergência e monitoração do ambiente;

 

Servidor de Rede - recurso de TI com a finalidade de disponibilizar ou gerenciar serviços de rede de computadores;

 

Servidor de Aplicação – recurso de TI com a finalidade de disponibilizar e gerenciar sistemas informáticos;

 

Servidor Web – recurso de TI com a finalidade de disponibilizar os sistemas informáticos para internet;

 

Sistema de chamados TI – (Help desk) serviço de atendimento aos usuários que buscam soluções para problemas técnicos, esclarecimentos sobre dúvidas, senhas de acesso, alterações em sistemas e outras solicitações relacionadas a TI;

 

Sistemas de Informação – conjunto de meios de comunicação, servidores e redes de computadores, assim como dados e informações que podem ser armazenados, processados, recuperados ou transmitidos por serviços de telecomunicações, inclusive aplicativos, especificações e procedimentos para sua operação, uso e manutenção;

 

Sistema de Segurança da Informação - proteção de um conjunto de dados, visando preservar o valor que possuem para um indivíduo ou uma organização;

 

Site - conjunto de páginas virtuais dinâmicas ou estáticas, que tem como principal objetivo fazer a divulgação da instituição;

 

Software - todos os programas licenciados existentes em um computador, como sistema operacional, aplicativos, entre outros.

 

SPT – Superintendência de Projetos Tecnológicos da SEFAZ/TO;

 

Streaming - transferência de dados (normalmente áudio e vídeo) em fluxo contínuo por meio da Internet;

 

Switches – equipamento eletrônico de comutação que funciona como um nó central numa rede no formato estrela, armazenando em memória o endereço físico de todos os computadores conectados a ele, relacionando cada endereço físico a uma de suas portas e permitindo assim a interligação entre os dispositivos conectados;

 

Termo de Responsabilidade e Compromisso - termo assinado pelo usuário concordando em contribuir com a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações que tiver acesso, bem como assumir responsabilidades decorrentes de tal acesso;

 

TI – tecnologia da informação;

 

Tratamento da informação - recepção, produção, reprodução, utilização, acesso, transporte, transmissão, distribuição, armazenamento, eliminação e controle da informação, inclusive as sigilosas;

 

Tratamento de Incidentes de Segurança em Redes Computacionais - serviço que consiste em receber, filtrar, classificar e responder às solicitações e alertas e realizar as análises dos incidentes de segurança, procurando extrair informações que permitam impedir a continuidade da ação maliciosa e também a identificação de tendências;

 

Trilhas de Auditoria - rotinas específicas programadas nos sistemas para fornecerem informações de interesse da auditoria. São entendidas como o conjunto cronológico de registros (logs) que proporcionam evidências do funcionamento do sistema. Esses registros podem ser utilizados para reconstruir, rever/revisar e examinar transações desde a entrada de dados até a saída dos resultados finais, bem como para avaliar/rastrear o uso do sistema, detectando e identificando usuários não autorizados;

 

Usuário - Agentes do Fisco, agentes públicos, agentes políticos, demais servidores, estagiários, consultores, servidores de outros órgãos ou particulares, devidamente autorizados pela SPT para acesso aos ativos de informação, equipamentos e comunicação da SEFAZ/TO;

 

VLAN (Virtual Local Area Network) – (Rede Local Virtual) é um agrupamento lógico de estações, serviços e dispositivos de rede que não estão restritos a um segmento físico de uma rede local;

 

VPN (Virtual Private Network) – (Rede Privada Virtual) é uma rede de dados privada que faz uso das infraestruturas públicas de telecomunicações, preservando a privacidade, logo é a extensão de uma rede privada que engloba conexões com redes compartilhadas ou públicas.

 

Vulnerabilidade - conjunto de fatores internos ou causa potencial de um incidente indesejado, que podem resultar em risco para um sistema ou organização, os quais podem ser evitados por uma ação interna de segurança da informação;

 

Wireless (rede sem fio) - rede que permite a conexão entre computadores e outros dispositivos através da transmissão e recepção de sinais de rádio.

 

Art. 2o A Política de Segurança da Informação, Equipamentos e das Comunicações - POSIEC, tem como referências legais e normativas:

I - Lei Nº 1.818, de 23 de agosto de 2007 – Estatuto dos Servidores Públicos Civis do Estado do Tocantins.

II - Lei nº 12.527, de 18 de novembro de 2011 – Lei de acesso a informação;

III - Decreto Lei nº 2.848/40 – Código Penal, sobre tipificação de crimes por computador;

IV - Lei n° 9.610, de 19 de fevereiro de 1998, que altera, atualiza e consolida a legislação sobre direitos autorais;

V - Lei nº 8.159, de 08 de janeiro de 1991, dispõe sobre a política nacional de arquivos públicos e privados e dá outras providências e alterações legais;

VI - Decreto nº 7.724 de 16/05/2012, que regulamenta a Lei 12.527, de 18/11/2011 – Dispõe sobre o acesso a informações;

VII - NBR/ISO/IEC 27002/2005, que institui o código de melhores práticas para gestão de segurança da informação;

VIII - NBR/ISO/IEC 27001/2006, que estabelece os elementos de um Sistema de Gestão  de Segurança da Informação;

IX - ABNT NBR ISO/IEC 27002:2013 - Código de prática para controles de segurança da informação;

 X - Norma NBR ISO/IEC 27005:2008 - Diretrizes para o gerenciamento dos riscos de Segurança da Informação (SI);

XI - Código Civil, Art. 1.016, que institui que os administradores respondem solidariamente perante a sociedade e os terceiros prejudicados, por culpa no desempenho de suas funções;

XII - Cartilha de Segurança para Internet, desenvolvida pelo CERT.br, com inteiro teor em http://cartilha.cert.br/.

 

Art. 3º Esta Instrução Normativa entra em vigor na data de sua publicação.

 

 

 

EDES DIVINO DE OLIVEIRA

Superintendente de Projetos Tecnológicos