Portaria nº 811 de 13.09.2016
|
PORTARIA SEFAZ No 811, de 13 de setembro de 2016.
(Republicado para Correção)
Dispõe sobre a Política de Segurança da Informação, Equipamentos e das Comunicações – POSIEC no âmbito da Secretaria da Fazenda e dá outras providências.
O SECRETÁRIO DA FAZENDA, no uso da atribuição que lhe confere o art. 42, § 1o, inciso II, da Constituição do Estado,
RESOLVE:
Art. 1º Fica instituída a Política de Segurança da Informação, Equipamentos e das Comunicações – POSIEC no âmbito da Secretaria da Fazenda do Estado do Tocantins - SEFAZ/TO.
Art. 2º A POSIEC é um documento formal acerca do compromisso com a proteção e manuseio das informações, equipamentos, comunicações, gestão dos riscos e responsabilidade as quais todos os usuários (servidores, agentes políticos e externos) se submetem.
Art. 3º A POSIEC será estruturada em Instruções Normativas que tratarão individualmente da gestão dos recursos de tecnologia da informação necessária aos recursos computacionais e disporá sobre os conceitos de informática para efeitos desta política.
Art. 4º São princípios da POSIEC:
I - Confidencialidade - proteger os dados, equipamentos, informações e conhecimentos produzidos na SEFAZ/TO classificados como sigilosos ou não;
II - Autenticidade - garantir o direito pessoal e coletivo, ao sigilo das comunicações, identidade dos usuários e interesses da SEFAZ/TO;
III - Integridade - a proteção das ferramentas tecnológicas corporativas, de propriedade da SEFAZ/TO ou licenciadas, disponibilizadas aos seus usuários;
IV - Disponibilidade – prevenir interrupções na operação do sistema, rede, de forma a garantir a continuidade do negócio;
V - Legalidade – garantir a conformidade das informações e processos com os preceitos da legislação vigente.
Art. 5º São diretrizes gerais da POSIEC:
I - descrever a conduta considerada adequada para o manuseio, controle e proteção das informações, equipamentos e comunicações da SEFAZ/TO contra a destruição, modificação, divulgação indevida e acessos não autorizados, sejam acidentais ou intencionais;
II - manter o plano de gerenciamento de incidentes e recuperação de desastres periodicamente testados, para garantir a continuidade das atividades críticas e o retorno à situação de normalidade;
III - o usuário deve ter acesso apenas aos ativos necessários e indispensáveis ao seu trabalho, respeitando as recomendações de sigilo de normas e legislação específica;
IV - o controle operacional de uma atividade crítica não pode ser atribuição exclusiva de uma única pessoa;
V - a responsabilização do usuário pelos atos que comprometam a segurança dos sistemas, equipamentos e comunicações da SEFAZ/TO;
VI - todo ativo produzido pelo usuário com os recursos computacionais da SEFAZ/TO deve ser mantido, garantindo o reconhecimento da propriedade do acervo para a corporação.
Art. 6º A POSIEC é o instrumento que regula a proteção dos dados, equipamentos, informações e conhecimentos da SEFAZ/TO, com vistas à garantia de confidencialidade, autenticidade, integridade, disponibilidade e legalidade, observando-se que:
I - todos os mecanismos de proteção utilizados para a segurança da informação devem ser mantidos para preservar a continuidade regular do exercício das funções institucionais;
II - o gerenciamento dos ativos de informação deverão observar normas operacionais e procedimentos específicos, a fim de garantir sua operação segura e contínua;
III - o cumprimento desta POSIEC, instruções normativas e procedimentos de segurança da informação será auditado periodicamente, de acordo com os critérios definidos pela Superintendência de Projetos Tecnológicos;
IV - as medidas de proteção devem ser planejadas e os investimentos devem ser compatíveis com valor do ativo protegido;
V - o acesso às informações, sistemas, equipamentos e instalações depende da apresentação de identificador único, pessoal, intransferível e com validade estabelecida, que permita de maneira clara e indiscutível o seu reconhecimento;
VI - a aquisição, contratação de serviços de desenvolvimento, instalação e uso de sistemas e equipamentos devem ser homologados e/ou autorizados pela Superintendência de Projetos Tecnológicos;
VII - para garantir o cumprimento das normas, os responsáveis pelas unidades deverão auxiliar no controle do uso dos recursos computacionais e na identificação dos mesmos;
VIII - os requisitos de segurança da informação devem estar explicitamente citados em todos os termos de compromisso celebrados entre a SEFAZ, seus usuários e terceiros;
IX - para acesso aos sistemas, dados, informações e equipamentos da SEFAZ/TO, todos os usuários devem assinar Termo de Compromisso e utilizar, exclusivamente, conta de e-mail corporativo @sefaz.to.gov.br;
X - é vedada a instalação de quaisquer sistemas, equipamentos ou dispositivos sem autorização prévia da Superintendência de Projetos Tecnológicos, que possam comprometer a integridade e segurança do banco de dados, rede, aplicações e equipamentos da SEFAZ/TO;
Parágrafo único – Serão imediatamente desligados e recolhidos quaisquer equipamentos e dispositivos não pertencentes ao patrimônio da SEFAZ/TO ou não autorizados formalmente pela Superintendência de Projetos Tecnológicos - SPT, para que se apurem responsabilidades.
Art. 7º As responsabilidades pela segurança da informação devem ser definidas em ato do Secretário da Fazenda, com as descrições de cargos e funções, bem como nos termos e condições das contratações que envolvam o manuseio de dados, informações, equipamentos da SEFAZ/TO, e:
I - é responsabilidade do gestor da unidade organizacional da SEFAZ/TO garantir que o nível de acesso aos sistemas e equipamentos de seus colaboradores, devendo comunicar imediatamente a Superintendência de Projetos Tecnológicos sobre eventuais mudanças de lotação ou vínculo funcional;
II - quando da efetivação do desligamento de usuário, a chefia imediata deverá comunicar à SPT para que sejam extintos todos os direitos de acesso e uso dos ativos a ele atribuído.
Art. 8º Compete ao Secretário da Fazenda assegurar:
I - a implementação efetiva da POSIEC em toda a SEFAZ/TO;
II - os recursos necessários para a implementação e gestão da POSIEC;
III - os recursos financeiros necessários para a contínua renovação dos recursos computacionais, manutenção e atualização de licenças dos softwares utilizados pela SEFAZ/TO.
Art. 9º Compete ao Superintendente de Projetos Tecnológicos da Secretaria da Fazenda:
I - editar as Instruções Normativas necessárias ao regulamento e pleno cumprimento da POSIEC;
II - subsidiar o Secretário da Fazenda e CTI com informações necessárias para traçar diretrizes em tecnologia da informação de forma a assegurar o pleno desenvolvimento dos sistemas, equipamentos e da POSIEC;
III - designar o Gestor de Segurança da Informação, Equipamentos e das Comunicações no âmbito da SEFAZ/TO, que coordenará a Equipe de Tratamento e Resposta a Incidentes - ETRI;
IV - analisar e aprovar todo o procedimento preliminar e final para a aquisição de bens e serviços em tecnologia da informação e comunicação, relativo à SEFAZ/TO;
V - promover cultura de segurança da informação, equipamentos e comunicações;
VI - autorizar todos os acessos aos sistemas, redes, banco de dados e equipamentos no âmbito da SEFAZ/TO;
VII - acompanhar as investigações e as avaliações dos danos decorrentes de quebras de segurança;
VIII - realizar e acompanhar estudos de novas tecnologias, quanto a possíveis impactos na segurança da informação e comunicações;
IX - propor normas complementares, procedimentos e modificações à Política de Segurança da Informação, Equipamentos e das Comunicações - POSIEC;
X - planejar e coordenar a execução dos programas, planos, projetos e ações de segurança;
XI - supervisionar, analisar e avaliar a efetividade dos processos, procedimentos, sistemas e dispositivos de segurança da informação.
Parágrafo único - As atividades relacionadas nos incisos VI ao XI deste artigo, podem ser delegadas pelo Superintendente de Projetos Tecnológicos.
Art. 10 Compete a Equipe de Tratamento e Resposta a Incidentes - ETRI:
I - manter a análise de risco atualizada, refletindo o estado corrente da organização;
II - identificar controles físicos, administrativos e tecnológicos para mitigação de risco;
III - apurar os incidentes de segurança e indisponibilidade, registrar, tratar e encaminhar os fatos apurados para ao Superintendente de Projetos Tecnológicos;
IV - propor normas relativas à segurança da informação e comunicações.
Art. 11 O usuário que agir em desacordo com os termos desta Política de Segurança da Informação, Equipamentos e Comunicações - POSIEC ficará sujeito à aplicação das penalidades previstas na Lei Federal nº 10.406/2002, na Lei Estadual nº 1.818/2007 e no Decreto-Lei no 2.848/1940, e alterações vigentes.
Art. 12 Os casos omissos e as dúvidas surgidas na aplicação desta política serão submetidos ao Comitê de Tecnologia da Informação - CTI que, se for o caso, encaminhará para a análise e deliberação do Secretário da Fazenda.
Art. 13 Até a unificação do banco de dados ORACLE, os mecanismos de acesso ao banco ADABAS permanecem sob os mesmos critérios a usuários individuais e suas permissões.
Art. 14 Esta Portaria entra em vigor na data de sua publicação.
PAULO ANTENOR DE OLIVEIRA
Secretário da Fazenda
EDES DIVINO DE OLIVEIRA
Superintendente de Projetos Tecnológicos