Aprova a Política de Segurança da Informação no âmbito da Polícia Civil do Distrito Federal.
O COMITÊ GESTOR DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO, DA POLÍCIA CIVIL DO DISTRITO FEDERAL, no uso de suas atribuições previstas nos artigos 3º, inciso I, e 12, inciso I, do Anexo Único da Portaria DGPC nº 60, de 03 de julho de 2020, publicada no Diário Oficial do Distrito Federal de 08 de julho de 2020,
Considerando a necessidade de garantir um ambiente tecnológico seguro de forma a ofertar todas as informações necessárias aos processos estabelecidos no âmbito da PCDF, assegurando confidencialidade, disponibilidade e integridade da informação;
Considerando a necessidade de manter a segurança da informação aderente às mudanças de contextos internos e externos da PCDF;
Considerando as diretrizes dispostas no Plano Diretor de Segurança da Informação (PDSI) 2022-2023 da PCDF;
Considerando as diretrizes dispostas no Plano Diretor de Tecnologia da Informação (PDTIC) 2020-2023 da PCDF;
Considerando as diretrizes dispostas no Plano Estratégico Institucional (PEI) – Programa Avançar 2° Ciclo 2019-2023 da PCDF;
Considerando a Resolução nº 03, de 06 de novembro de 2018, que aprova a revisão da Política de Segurança da Informação e Comunicação (PoSIC) do Governo do Distrito Federal;
Considerando a metodologia apresentada no Manual de Auditoria Operacional, 4ª edição, do Tribunal de Contas da União;
Considerando a metodologia apresentada no Manual de Auditoria e demais fiscalizações de 2020 do Tribunal de Contas do Distrito Federal;
Considerando as recomendações da Center for Internet Security (CIS), estabelecidas no Controles CIS, versão 8, de 2021; e
Considerando a Norma ABNT NBR ISO 27001:2013, que estabelece princípios e diretrizes para a implantação da Política de Segurança da Informação, RESOLVE:
Art. 1º Aprovar, na forma do Anexo desta Resolução, a Política de Segurança da Informação no âmbito da Polícia Civil do Distrito Federal.
Art. 2º Esta Resolução entra em vigor na data de sua publicação.
Art. 3º Revogam-se as disposições em contrário.
Chefe do Gabinete do Delegado-Geral
CARLOS AUGUSTO MACHADO CARNEIRO
Assessor-Chefe da Assessoria da Delegacia-Geral
Diretor da Escola Superior de Polícia Civil
SILVERIO ANTONIO MOITA DE ANDRADE
Diretor do Departamento de Administração Geral
Diretor do Departamento de Atividades Especiais
Diretor do Departamento de Combate à Corrupção e ao Crime Organizado
Diretor do Departamento de Inteligência, Tecnologia e Gestão da Informação
Diretor do Departamento de Gestão de Pessoas
Diretor do Departamento de Polícia Circunscricional
Diretor do Departamento de Polícia Especializada
RAIMUNDO CLEVERLANDE ALVES DE MELO
Diretor do Departamento de Polícia Técnica
ANEXO
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
POLÍCIA CIVIL DO DISTRITO FEDERAL
Art. 1º A Política de Segurança da Informação (PSI) da Polícia Civil do Distrito Federal (PCDF) objetiva estabelecer, dentro de sua estrutura organizacional, princípios e diretrizes que visam manter a conformidade com as disposições legais vigentes para assegurar a confidencialidade, a disponibilidade e a integridade de suas informações.
§ 1º As normas e os procedimentos complementares publicados com a aprovação do Comitê Gestor de Segurança da Informação e Comunicação (CGSIC) da PCDF tornam-se parte desta PSI.
§ 2º Para todos os efeitos desta PSI, consideram-se os conceitos e as definições dispostos nesta Política e ainda aqueles que constam no Glossário de Segurança da Informação do Gabinete de Segurança Institucional da Presidência da República, aprovado pela Portaria GSI/PR nº 93, de 18 de outubro de 2021.
Art. 2º Esta PSI, as normas e os procedimentos complementares aplicam-se a todos os servidores, colaboradores e prestadores de serviço que atuam diretamente nas unidades da estrutura organizacional da PCDF, bem como a quem, de alguma forma, execute atividades no ciclo de vida da informação no ambiente da PCDF.
Do Glossário de Segurança da Informação
Art. 3º Todas as unidades deverão utilizar o Glossário de Segurança da Informação instituído no âmbito da PCDF como referência na leitura deste documento e dos normativos internos relacionados à Segurança da Informação.
DAS REFERÊNCIAS LEGAIS E NORMATIVAS
Art. 4º Esta PSI observa a legislação e normas específicas, destacando-se:
I - Lei Federal nº 14.129, de 29 de março de 2021: dispõe sobre princípios, regras e instrumentos para o Governo Digital e para o aumento da eficiência pública;
II - Lei Federal nº 13.709, de 14 de agosto de 2018: Lei Geral de Proteção de Dados Pessoais (LGPD);
III - Lei Federal nº 12.965, de 23 de abril de 2014: estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil;
IV - Lei Federal nº 12.527, de 18 de novembro de 2011: regula o acesso a informações previsto no inciso XXXIII do art. 5º, no inciso II do § 3º do art. 37 e no § 2º do art. 216 da Constituição Federal;
V - Decreto Federal nº 10.748, de 16 de julho de 2021: institui a Rede Federal de Gestão de Incidentes Cibernéticos;
VI - Decreto Federal nº 10.543, de 13 de novembro de 2020: dispõe sobre o uso de assinaturas eletrônicas na administração pública federal;
VII - Decreto Federal nº 9.854, de 25 de junho de 2019: institui o Plano Nacional de Internet das Coisas e dispõe sobre a Câmara de Gestão e Acompanhamento do Desenvolvimento de Sistemas de Comunicação Máquina a Máquina e Internet das Coisas;
VIII - Decreto Federal nº 9.573, de 22 de novembro de 2018: aprova a Política Nacional de Segurança de Infraestruturas Críticas;
IX - Decreto Federal nº 9.637, de 26 de dezembro de 2018: institui a Política Nacional de Segurança da Informação e dispõe sobre a governança da segurança da informação;
X - Instrução Normativa GSI/PR nº 1, de 27 de maio de 2020: dispõe sobre a Estrutura de Gestão da Segurança da Informação nos órgãos e nas entidades da administração pública federal;
XI - Instrução Normativa GSI/PR nº 2, de 5 de fevereiro de 2013: dispõe sobre o Credenciamento de Segurança para o Tratamento de Informação Classificada, em qualquer grau de sigilo, no âmbito do Poder Executivo Federal;
XII - Instrução Normativa GSI/PR nº 3, de 6 de março de 2013: dispõe sobre os parâmetros e padrões mínimos dos recursos criptográficos baseados em algoritmos de Estado para criptografia da informação classificada no âmbito do Poder Executivo Federal;
XIII - Portaria GSI/PR nº 93, de 18 de outubro de 2021: aprova o Glossário de Segurança da Informação;
XIV - Resolução nº 03, de 06 de novembro de 2018: aprova a revisão da Política de Segurança da Informação e Comunicação (PoSIC) do Governo do Distrito Federal;
XV - Decreto Distrital nº 30.490, de 22 de junho de 2009: aprova o Regimento Interno da Polícia Civil do Distrito Federal;
XVI - Portaria DGPC nº 56, de 03 de junho de 2020: altera a composição e as competências do Comitê Gestor de Segurança da Informação e Comunicação (CGSIC) da PCDF;
XVII - Portaria DGPC nº 60, de 03 de julho de 2020: aprova o Regimento Interno do CGSIC no âmbito da PCDF;
XVIII - Portaria DGPC nº 49, de 27 de maio de 2019: institui o Comitê Interno de Governança Pública (CIG) da PCDF;
XIX - Portaria DGPC nº 118, de 3 de dezembro de 2019: dispõe sobre a Política de Gestão de Riscos da PCDF;
XX - Ordem de Serviço DGPC nº 25, de 06 de setembro de 2021: dispõe sobre as regras de controle de acesso de pedestres e veículos ao Complexo da PCDF;
XXI - Norma de Serviço CGP nº 02/2008, de 28 de fevereiro de 2008: dispõe sobre o zelo pela segurança das instalações físicas da PCDF; e
XXII - Instrução Normativa DGPC nº 127, de 9 de abril de 2008: estabelece diretrizes, normas, critérios e condições gerais para o uso de equipamentos de informática, acesso e utilização das redes de informática, bem como promove outras providências.
Art. 5º Esta PSI rege-se pelos seguintes princípios:
VII - Razoabilidade e Proporcionalidade; e
Art. 6º As diretrizes de Segurança da Informação estabelecidas por esta PSI, seus normativos e procedimentos complementares devem manter alinhamento com o Plano Estratégico Institucional (PEI) da PCDF e a Política de Segurança da Informação e Comunicações (PoSIC) do Governo do Distrito Federal.
Art. 7º Todos os servidores, colaboradores e prestadores de serviços devem ser sensibilizados sobre a PSI, suas normas e seus procedimentos complementares, por meio de um plano contínuo de capacitação que possibilite o seu cumprimento dentro e fora da PCDF.
Art. 8º A implementação do modelo de Gestão de Segurança da Informação na PCDF deve ser realizada por uma equipe técnica composta de servidores capacitados para manter a conformidade com todos os normativos legais, acompanhar e divulgar o resultado dos indicadores do Plano Diretor de Segurança da Informação (PDSI).
Parágrafo único. A realização de convênios, visitas técnicas, acordos de cooperação técnica e outros instrumentos devem ser estabelecidos para o intercâmbio técnico e elevar o nível de maturidade do modelo de Gestão de Segurança da Informação da PCDF.
Art. 9º Todos os processos de trabalho e de atividades essenciais que incluam processamento de informação devem ser mapeados e modelados para fins de identificação, análise, avaliação e tratamento dos riscos.
Da Gestão de Segurança da Informação
Art. 10. A Gestão de Segurança da Informação deverá ser institucionalizada com a seguinte composição:
II - Gestor de Segurança da Informação; e
III - Equipe de Prevenção, Tratamento e Resposta a Incidentes de Segurança da Informação (ETIR).
Art. 11. Devem ser assegurados recursos financeiros para a implantação do PDSI.
Art. 12. O Modelo de Gestão de Segurança da Informação deverá manter a conformidade com o Sistema de Gestão de Segurança da Informação (SGSI) e prover um processo de monitoramento para acompanhar os indicadores do PDSI, bem como prover processos para o monitoramento e a manutenção do SGSI.
Art. 13. Toda informação que obtiver controles de proteção de acesso, visando garantir a integridade e o não repúdio deverão seguir regramentos definidos em norma específica.
Da Classificação da Informação
Art. 14. O processamento da informação deve seguir todas as etapas do ciclo de vida da informação: criação, manipulação, armazenamento, transporte e descarte.
§ 1º As diretrizes estabelecidas no processamento da informação devem assegurar a adoção dos níveis de proteção adequados que garantam disponibilidade, integridade e confidencialidade, independente do meio de armazenamento, processamento ou transmissão que seja utilizado.
§ 2º A implantação dos níveis de proteção deverá obedecer à Política de Classificação da Informação (PCI).
Art. 15. Deverão ser estabelecidos controles de segurança, softwares ou outros recursos tecnológicos que garantam a proteção da informação na tramitação de documentos sigilosos ou classificados de propriedade da PCDF.
Da Segurança Física e do Ambiente
Art. 16. As áreas de acesso restrito deverão ser identificadas para a implantação de barreiras e controles que reduzam a possibilidade de entrada de pessoas não autorizadas.
Art. 17. Os equipamentos de propriedade da PCDF deverão ser protegidos contra ameaças físicas e ambientais, incluindo aqueles localizados ou utilizados fora de suas instalações físicas.
Art. 18. A entrega de mercadoria e produtos deve ser realizada em áreas destinadas para esse fim, sendo necessário instituir processos para que essas atividades aconteçam com a maior segurança e eficiência possíveis.
Art. 19. O combate a incêndio, problemas elétricos e de telefonia deve ser contemplado em planos que proporcionem a proteção dos equipamentos e a simulação de situações adversas.
Da Gestão de Incidentes em Segurança da Informação
Art. 20. Os incidentes de infraestrutura computacional devem ser solucionados pela Divisão de Tecnologia (DITEC).
Art. 21. O Gestor de Segurança da Informação deve definir o modelo de ETIR que melhor se adeque às necessidades das unidades da PCDF e modelar o processo de gestão de incidentes, mantendo a conformidade com a legislação correspondente.
Art. 22. Todos os membros da ETIR devem possuir as competências necessárias para prevenção, tratamento e resposta aos incidentes de SI.
Art. 23. O registro, a classificação dos incidentes de segurança da informação e a cadeia de custódia da informação devem se utilizar de sistemas e ferramentas computacionais devidamente homologados.
Art. 24. O inventário e o mapeamento de ativos de informação devem considerar os processos de negócios críticos, as informações classificadas conforme os requisitos legais e identificar os responsáveis por cada ativo de informação.
Art. 25. Os equipamentos de propriedade da PCDF localizados ou utilizados fora de suas instalações físicas devem ser protegidos com regras de segurança.
Art. 26. Os equipamentos que não são de propriedade da PCDF que adentrem suas instalações deverão ser protegidos com regras de segurança.
Da Gestão do Uso dos Recursos Computacionais e de Comunicações
Art. 27. Os mecanismos de segurança da informação devem ser implementados para assegurar a gestão do uso de recursos computacionais, tais como e-mail, acesso à internet, redes sociais, rede sem fio, computação em nuvem, entre outros, sob o domínio da infraestrutura tecnológica.
Art. 28. A definição de processo institucional para uso e movimentação de recursos computacionais e de comunicações deve ser realizada e comunicada aos agentes públicos.
Art. 29. As informações disponibilizadas em ambiente de computação em nuvem deverão receber tratamento da informação de acordo com os requisitos exigidos em normativo vigente.
Parágrafo único. As informações tratadas em ambiente de computação em nuvem devem passar por um processo de Gestão de Riscos.
Do Uso da Internet e dos Recursos de Tecnologia da Informação
Art. 30. O acesso à internet no âmbito da PCDF deve ser realizado com a finalidade exclusiva de executar as atividades de interesse público e aquelas desempenhadas pelo órgão, observando sempre a moralidade administrativa.
Art. 31. A DITEC monitorará os acessos à internet, aos recursos e sistemas de informação dentro das dependências da PCDF, bem como bloqueará sites que tenham conteúdo suspeito ou perigoso para a execução dos objetivos, da missão e da visão da Instituição.
I - a instalação de softwares não homologados ou licenciados pela unidade de tecnologia da informação;
II - o acesso ou a tentativa de acesso a recurso tecnológico do qual não seja detentor de autorização, em especial àqueles que contenham conteúdo considerado ofensivo, ilegal ou impróprio;
III - a utilização dos recursos tecnológicos da PCDF para fins estranhos às atividades de polícia judiciária;
IV - a prática de quaisquer atos tendentes a tornar indisponível qualquer recurso tecnológico sem autorização;
V - o uso de provedores de acesso externo ou de qualquer outra forma de conexão não autorizada no ambiente de rede da PCDF.
Art. 33. O usuário é responsável pela integridade do equipamento computacional que opera.
Art. 34. O uso do correio eletrônico corporativo é obrigatório como meio de envio e recebimento de informações inerentes às atividades institucionais da PCDF, vedada a sua utilização para fins particulares.
Art. 35. O acesso diário à caixa de mensagens eletrônicas corporativa é responsabilidade exclusiva do usuário.
Art. 36. Os requisitos de segurança da informação para envio e recebimento de informações inerentes às atividades da PCDF devem estar explicitamente citados em todos os termos de compromisso celebrados entre terceiros.
Art. 37. As credenciais de acesso à rede e aos sistemas de informação são a identidade do usuário na PCDF.
Parágrafo único. A identidade do usuário é pessoal e intransferível, sendo o usuário o responsável exclusivo pela proteção de sua identidade.
Art. 38. Os servidores, colaboradores e prestadores de serviços devem utilizar apenas recursos de Tecnologia da Informação e Comunicação (TIC) previamente homologados e autorizados pela DITEC.
Art. 39. Os acessos e mudanças de perfil que permitem o uso dos sistemas de informação e dos arquivos corporativos devem ser concedidos somente para pessoas autorizadas formalmente pelo gestor da área.
Art. 40. As diretrizes, as regras e os procedimentos que definam o caráter individual das credenciais de acesso devem ser estabelecidos em normas, as quais serão divulgadas para todos os servidores, colaboradores e prestadores de serviços da PCDF.
Art. 41. O acesso às instalações físicas de servidores, colaboradores, prestadores de serviços e visitantes deve ser registrado em sistemas de informação que permitam a sua rastreabilidade.
Parágrafo único. O processo institucional para acesso às instalações físicas deve ser mapeado e modelado para fins de divulgação na PCDF.
Da Gestão de Riscos de Segurança da Informação
Art. 42. As unidades responsáveis por atividades que executem processamento da informação devem realizar a gestão de riscos em conformidade com a metodologia de riscos de segurança da informação da PCDF.
Art. 43. A metodologia de gestão de riscos de segurança da informação deve ser regulamentada por norma específica e estar alinhada com os objetivos estratégicos da PCDF.
Da Gestão de Continuidade de Negócios
Art. 44. Um modelo de gestão de continuidade de negócios deve ser desenvolvido e implantado para que assegure a gestão dos incidentes e a recuperação de desastres, a fim de proporcionar a continuidade dos serviços críticos da PCDF.
Art. 45. Todos os sistemas críticos devem ser identificados por meio de metodologias e analisados os seus riscos, bem como possíveis impactos sobre as operações da PCDF.
Art. 46. Simulações e testes periódicos devem ser realizados para identificar as vulnerabilidades e o tratamento dos riscos em caso de incidentes ou desastres que impactem na indisponibilidade dos serviços críticos da PCDF.
Art. 47. Planos de contingência devem ser elaborados para mitigar os riscos de indisponibilidade dos serviços críticos da PCDF.
Art. 48. Os controles apropriados de trilhas de auditoria devem ser criados para a redução de riscos.
Art. 49. Todos os auditores que venham a desenvolver atividades de auditoria em SI deverão estar capacitados para analisar os controles do modelo de gestão de segurança da informação implantado na PCDF.
Art. 50. A gestão de indicadores deve proporcionar o acompanhamento da governança e gestão do nível de conformidade de segurança da informação.
Art. 51. Os resultados de auditoria devem ser disponibilizados aos órgãos de controle (interno e externo) para fins de análise e melhoria contínua.
Do Termo de Compromisso e Responsabilidade
Art. 52. Todos os servidores, colaboradores e prestadores de serviço deverão assinar os termos de compromisso e responsabilidade aplicáveis às suas atribuições para manutenção do sigilo das informações.
§ 1º Os termos deverão conter, obrigatoriamente, cláusulas que determinem a temporalidade de manutenção do sigilo.
§ 2º As diretrizes para a manutenção dos termos de compromisso e responsabilidade de cada unidade serão regulamentadas em norma específica.
Da Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação
Art. 53. Toda ação que envolva aquisição, desenvolvimento e manutenção de sistemas de informação, interno ou contratado, deve atentar-se quanto a:
I - Definição dos requisitos necessários de segurança de sistemas de informação;
II - Medidas preventivas contra processamento incorreto das aplicações;
III - Uso de controles criptográficos;
IV - Fornecimento de diretrizes para a segurança dos arquivos de sistema;
V - Segurança em processos de desenvolvimento e suporte; e
VI - Gestão de vulnerabilidades técnicas.
Art. 54. O desenvolvimento e a sustentação devem seguir metodologia própria da PCDF, que, por sua vez, deverá conter mecanismos para produção com os níveis de serviços adequados.
Art. 55. Para padronização e controle documental, todas as unidades da PCDF deverão fornecer orientações para elaboração, revisão e controle de documentos no âmbito da PCDF, regulamentadas por norma específica.
Art. 56. Para implementação de cuidados com o acesso indevido a informações e adoção de boas práticas no ambiente de trabalho da PCDF, todas as unidades deverão obedecer às determinações de Mesa Limpa e Tela Limpa — regulamentada por norma específica.
Parágrafo único. As diretrizes deverão visar à manutenção de um ambiente limpo de informações circulantes, com controle e impedimento de acesso indevido às informações classificadas e sigilosas custodiadas pela PCDF.
Art. 57. Para uma proteção eficaz das informações, o CGSIC deverá elaborar um plano contínuo de capacitação em Segurança da Informação, de modo a promover maior consciência da responsabilidade individual dos usuários, gerando uma cultura de segurança da informação na PCDF.
Art. 58. Todos os processos citados nesta PSI serão estabelecidos por meio de comunicação formal na PCDF, regulamentados por norma específica.
Art. 59. Todos os servidores, colaboradores e prestadores de serviços que venham a tomar conhecimento ou identificar incidentes ou ameaças à segurança da informação devem comunicá-los à ETIR.
Art. 60. Caso identificado algum site suspeito ou perigoso sem restrição de acesso, o usuário deverá informar imediatamente à DITEC.
Art. 61. A ETIR deve tratar todos os incidentes que envolvam quebra de segurança da informação e comunicar imediatamente ao Encarregado Setorial da PCDF os que envolverem dados pessoais.
Art. 62. Os responsáveis pelos ativos de TIC, bem como os proprietários da informação das unidades da PCDF, devem ser informados pela DITEC sobre os riscos e impactos em caso de indisponibilidade, formas de backup e tempo de retenção dos dados.
DAS COMPETÊNCIAS E RESPONSABILIDADES
Art. 63. Fica estabelecido o presente modelo gerencial, responsável pelo estabelecimento e manutenção do Sistema de Gestão de Segurança da Informação da PCDF, com a seguinte estrutura organizacional:
II - Comitê Gestor de Segurança da Informação e Comunicação;
III - Gestor de Segurança da Informação;
IV - Equipe de Prevenção, Tratamento e Resposta a Incidentes de Segurança da Informação;
VI - Demais unidades da PCDF; e
Art. 64. Cabe ao Delegado-Geral:
I - Determinar a publicação do PDSI, da PSI, das normas complementares e de suas revisões;
II - Aprovar a instituição do CGSIC;
III - Aprovar a instituição da ETIR;
IV - Apoiar a equipe técnica de segurança da informação no cumprimento da PSI e das normas complementares; e
V - Viabilizar os recursos necessários para a implementação do PDSI e a capacitação contínua dos servidores em Segurança da Informação.
Parágrafo único. O Delegado-Geral será substituído pelo Delegado-Geral Adjunto em caso de ausência ou impedimento.
Do Comitê Gestor de Segurança da Informação e Comunicação
Art. 65. O CGSIC, no âmbito da PCDF, de natureza consultiva e deliberativa, tem por finalidade deliberar sobre políticas, estratégias, diretrizes e processos relacionados à segurança da informação e gestão de riscos de TIC, promovendo a proteção do ativo institucional segundo boas práticas de segurança da informação.
Art. 66. O CGSIC será composto pelos seguintes membros:
I - Delegado-Geral, que o presidirá;
III - Chefe do Gabinete do Delegado-Geral;
V - Diretores das Unidades de Direção Superior;
VI - Assessor-Chefe da Delegacia-Geral.
§ 1º Os membros titulares do CGSIC serão substituídos pelos respectivos suplentes em caso de ausência ou impedimento.
§ 2º O Departamento de Inteligência, Tecnologia e Gestão da Informação (DGI) proverá o apoio técnico necessário para o funcionamento do CGSIC, exercendo a função de Secretaria Executiva.
§ 3º A juízo do Presidente, poderão ser convocados representantes técnicos, na condição de ouvintes ou colaboradores, para subsidiar as deliberações do CGSIC.
I - Deliberar sobre os normativos elaborados pelos grupos de trabalho relacionados à segurança da informação;
II - Aprovar o PDSI e suas revisões;
III - Aprovar a PSI e suas revisões, em harmonia com as diretrizes dos órgãos de controle e do GDF;
IV - Aprovar o Plano de Continuidade de Negócios;
V - Aprovar ações periódicas de conscientização, educação e capacitação em Segurança da Informação em todas as unidades;
VI - Aprovar o processo de classificação e tratamento da informação institucional;
VII - Tomar ciência das normas complementares aprovadas pelos Diretores das Unidades de Direção Superior;
VIII - Instituir o Gestor de Segurança da Informação e seus suplentes;
IX - Instituir grupos de trabalho para tratamento de temas e proposição de soluções específicas sobre segurança da informação, bem como revisão dos documentos de segurança da informação, com prazos definidos para conclusão dos trabalhos;
X - Instituir comissões para a realização de investigações e avaliações de danos resultantes de quebras de segurança da informação;
XI - Definir mecanismos de controle de não conformidade com esta PSI;
XII - Definir as diretrizes para gestão de riscos de TIC e aprovar o respectivo programa, revisando-o quando necessário;
XIII - Monitorar e avaliar periodicamente os indicadores de execução da PSI e das normas complementares;
XIV - Assessorar na implementação das ações de segurança da informação;
XV - Propor e conduzir estudos sobre novas tecnologias no contexto de possíveis impactos na segurança da informação; e
XVI - Sugerir programa orçamentário próprio para as ações voltadas à segurança da informação.
Do Gestor de Segurança da Informação
Art. 68. O Gestor de Segurança da Informação e seus suplentes serão designados dentre os servidores da PCDF ocupantes de cargo efetivo, com formação ou capacitação técnica compatíveis com as normas estabelecidas.
Art. 69. Cabe ao Gestor de Segurança da Informação:
I - Acompanhar a elaboração e a revisão do PDSI;
II - Compor grupos de trabalho para tratamento de temas e proposição de soluções específicas sobre segurança da informação, bem como revisão dos documentos de segurança da informação, com prazos definidos para conclusão dos trabalhos;
III - Instituir, quando necessário, grupos de trabalho para tratamento de temas e proposição de soluções específicas sobre segurança da informação, bem como revisão dos documentos de segurança da informação, com prazos definidos para conclusão dos trabalhos;
IV - Estabelecer estratégias de implementação do modelo de Gestão da Segurança da Informação;
V - Informar ao CGSIC o cronograma de trabalho para implantação e manutenção da PSI para fins de reserva e planejamento orçamentário;
VII - Implementar e monitorar mecanismos de controle de não conformidade com esta PSI;
VIII - Implementar e manter a adoção de instrumentos para o aprimoramento da segurança da informação;
IX - Implementar as diretrizes para gestão de riscos de segurança da informação;
X - Acompanhar as análises das investigações de incidentes decorrentes da quebra da segurança da informação;
XI - Monitorar os projetos relacionados com a segurança da informação;
XII - Elaborar e conduzir estudos sobre novas tecnologias no contexto de possíveis impactos na segurança da informação;
XIII - Requerer recursos para promover a segurança da informação;
XIV - Convocar o GGSIC de forma extraordinária para deliberar sobre políticas, estratégias, diretrizes e processos relacionados à segurança da informação;
XV - Promover a cultura de segurança da informação na PCDF; e
XVI - Atualizar periodicamente a PSI, as normas e os procedimentos complementares em conformidade com as leis e os regulamentos internos vigentes.
Da Equipe de Prevenção, Tratamento e Resposta a Incidentes de Segurança da Informação
I - Coordenar as atividades de prevenção, tratamento e resposta a incidentes de segurança da informação na PCDF;
II - Definir a infraestrutura (computacional, instalações físicas, pessoal etc.) necessária para o seu devido funcionamento;
III - Documentar e arquivar os incidentes para o acesso de gestores e técnicos envolvidos na investigação e no tratamento de incidentes de segurança da informação; e
IV - Comunicar de imediato ao Encarregado Setorial da PCDF a ocorrência de incidentes que envolvam dados pessoais.
I - Promover a efetividade do funcionamento dos recursos de tecnologia da informação disponibilizados;
II - Promover a disponibilidade dos ativos encontrados em seu ambiente computacional;
III - Apoiar o CGSIC na elaboração de novas normas relativas aos ativos de TIC;
IV - Prestar apoio técnico à ETIR;
V - Prover a utilização de recursos criptográficos condizentes com os graus de sigilo e as restrições de acesso estabelecidas para o compartilhamento de informações;
VI - Realizar cópias de segurança dos dados armazenados na PCDF;
VII - Realizar testes e averiguações em equipamentos e sistemas, visando avaliar o cumprimento da PSI, das normas e dos procedimentos complementares relacionadas aos ativos informatizados;
VIII - Promover segurança nos processos de desenvolvimento e de suporte de sistemas e soluções de informação de acordo com as normas estabelecidas; e
IX - Observar critérios e controles de segurança para as atividades de aquisição, manutenção e desenvolvimento de sistemas de informação, com vistas a garantir o respeito dos atributos básicos de segurança da informação.
Art. 72. Compete às demais unidades da PCDF:
I - Conhecer e cumprir todos os princípios, as diretrizes e as responsabilidades estabelecidos nesta PSI, bem como os demais normativos e as resoluções relacionados à Segurança da Informação; e
II - Participar de grupos de trabalho para elaboração de normas complementares específicas.
Art. 73. Compete ao Agente Público:
I - Tomar conhecimento das diretrizes estabelecidas nesta PSI;
II - Comunicar de imediato, ao Gestor de Segurança da Informação, os incidentes que afetam a segurança no processamento da informação e o descumprimento desta PSI ou de suas normas complementares;
III - Comunicar de imediato, à ETIR, a ocorrência de incidentes de segurança da informação; e
IV - Preservar a imagem institucional da PCDF.
Art. 74. Compete ao Proprietário da Informação:
I - Identificar e definir informações críticas sob sua responsabilidade;
II - Reclassificar ativos periodicamente, observando a legislação em vigor;
III - Aprovar a liberação de acesso à informação sob sua responsabilidade;
IV - Envolver-se na definição de perfis de acesso a informações sob sua responsabilidade; e
V - Participar, quando convocado, de reuniões do CGSIC.
Do Custodiante dos Ativos da Informação
Art. 75. Compete ao Custodiante dos Ativos da Informação:
I - Controlar e proteger ativos de informação que se encontrem sob sua custódia; e
II - Comunicar, à ETIR e ao proprietário da informação, qualquer incidente que afete os ativos de informação sob sua custódia.
Art. 76. Viola esta PSI qualquer ato de:
I - Exposição da instituição ou de seus servidores a uma perda efetiva ou potencial por meio do comprometimento da segurança dos dados, das informações, da imagem institucional ou ainda por meio da perda de equipamento;
II - Divulgação indevida de dados confidenciais ou uso não autorizado de dados corporativos;
III - Uso de dados, informações, equipamentos, softwares ou outros recursos tecnológicos para propósitos ilícitos, que venham a incluir a violação de qualquer lei, regulamento ou dispositivo legal; e
IV - Não comunicação à área responsável acerca do descumprimento desta ou de suas normas complementares, que porventura venha a tomar conhecimento ou presencie.
Art. 77. O desrespeito ou a violação dos termos contidos nesta PSI acarretará:
I - Suspensão temporária ou permanente de autorizações de acesso aos recursos disponíveis;
II - Sanções administrativas determinadas pela PCDF, sem prejuízo da aplicação das medidas penais e/ou cíveis cabíveis; e
III - Responsabilização administrativa e aplicação de penalidades previstas em lei.
Art. 78. A não comunicação de incidente de segurança ao Encarregado Setorial da PCDF acarretará sanções administrativas de acordo com o grau de severidade.
Art. 79. Os incidentes de segurança da informação identificados como violações devem ser avaliados pela ETIR, que documentará o evento e, vislumbrando a participação de servidor da PCDF, encaminhará os fatos à CGP para apuração da responsabilidade administrativa e criminal pertinentes.
Art. 80. Deverá ser realizada revisão periódica da PSI e das normas complementares, conforme necessidade, não ultrapassando o período máximo de 1 (um) ano.
DA DIVULGAÇÃO E CONSCIENTIZAÇÃO
Art. 81. A divulgação das Políticas, Normas e dos Procedimentos de Segurança da Informação aplicados aos usuários deve ser objeto de campanhas internas e outros meios estabelecidos pela PCDF, com vistas à criação de uma cultura de segurança da informação.
Art. 82. Esta PSI, as normas e os procedimentos complementares devem ficar disponíveis na intranet. Em caso de indisponibilidade, poderá ser solicitado cópia preferencialmente digital, por meio do e-mail corporativo, ao Gestor de Segurança da Informação.
Art. 83. Os casos excepcionais, omissos ou as dúvidas quanto a esta PSI deverão ser reportados ao CGSIC.
Art. 84. As regras para o desenvolvimento das atividades do CGSIC devem ser publicadas por Portaria.
Este texto não substitui o publicado no DODF nº 170, seção 1, 2 e 3 de 09/09/2022 p. 12, col. 1