RESOLUÇÃO Nº 01, DE 29 DE ABRIL DE 2024
Aprova a Política de Segurança da Informação e Comunicação (POSIC) do Governo do Distrito Federal.
O COMITÊ GESTOR DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO DO DISTRITO FEDERAL-CGTIC-DF, no uso de suas competências dispostas no Decreto Distrital nº 42.486, de 08 de setembro de 2021, resolve:
Art. 1º Aprovar a Política de Segurança da Informação e Comunicação (POSIC) do Governo do Distrito Federal, na forma do Anexo Único desta Resolução, para vigorar em toda a Administração Direta e Indireta do Distrito Federal.
Art. 2º A POSIC será revisada a cada 2 (dois) anos, ou extraordinariamente, mediante deliberação do CGTIC, quando houver mudanças significativas que afetem a base de avaliação de risco original ou o contexto organizacional da Administração Pública do Distrito Federal.
Art. 3º Os órgãos e entidades da Administração Direta e Indireta do Distrito Federal terão o prazo de 24 (vinte e quatro) meses para implementação total das disposições e procedimentos previstos na POSIC, a contar da publicação desta Resolução.
Art. 4º A íntegra do documento referente à POSIC ficará disponível em endereço eletrônico oficial do Governo do Distrito Federal, na página da Secretaria de Estado de Economia do Distrito Federal.
Art. 5º Esta Resolução entra em vigor na data de sua publicação.
Secretário de Estado de Economia do Distrito Federal
Presidente do Comitê de Gestor de Tecnologia da Informação e Comunicação do DF
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO (POSIC) DO DISTRITO FEDERAL
A Segurança da Informação é um conjunto de ações de proteção aos ativos de informação contra todas as formas de agressões em seu ambiente físico, lógico e humano.
Este documento estabelece diretrizes, princípios, responsabilidades e objetivos para a Política de Segurança da Informação e Comunicação (POSIC) do Distrito Federal, a qual deverá ser adotada e cumprida por todos os servidores, estagiários, prestadores de serviços e demais usuários que utilizem suas informações produzidas ou manipuladas por meio de recursos de tecnologia da informação e comunicação.
Além disso, esta POSIC tem como escopo fundamentar todas as ações de proteção às informações das Unidades Administrativas da Administração Direta e Indireta do Distrito Federal, em atendimento às recomendações do Tribunal de Contas do Distrito Federal e de outros órgãos de controle.
A Segurança da Informação é matéria atinente a todas as atividades das Unidades Administrativas, sejam atividades meio ou fim, devendo essa responsabilidade ser compartilhada por todas suas áreas.
A informação não está apenas nos sistemas informatizados, mas também em papéis, documentos e pessoas. Portanto, para o sucesso desta POSIC, é necessário contar com o comprometimento de todos os gestores, servidores, estagiários, prestadores de serviços e usuários das informações.
Diversas ações e outros normativos de Segurança da Informação serão implementados com o fim de padronizar e regrar os processos institucionais do Governo do Distrito Federal.
O objetivo desta política é instituir diretrizes e princípios de Segurança da Informação e Comunicação no âmbito das unidades administrativas da Administração Direta e Indireta do Distrito Federal, com o propósito de limitar a exposição ao risco a níveis aceitáveis e buscar continuamente a disponibilidade, a integridade, a confidencialidade, a autenticidade e o não repúdio das informações que suportam os objetivos estratégicos dos órgãos e entidades distritais.
A POSIC/GDF aplica-se a todas as unidades da estrutura administrativa dos órgãos da Administração Direta e Indireta do Distrito Federal, e deverá ser fielmente observada por todos os servidores públicos, colaboradores, estagiários, consultores externos, prestadores de serviço e qualquer outra pessoa que tenha acesso a dados e informações do Estado, sob pena de responsabilização administrativa, penal ou civil, na forma da lei.
O conjunto de documentos que compõe esta POSIC deverá se guiar pelos seguintes princípios:
1. Simplicidade: A complexidade aumenta a chance de erros, portanto todos os controles de segurança deverão ser simples e objetivos;
2. Confidencialidade: a informação não é disponibilizada ou divulgada para pessoas, entidades ou processos não autorizados;
3. Integridade: Garantia de que a informação não foi modificada ou destruída de maneira não autorizada ou acidental, seja na sua origem, no trânsito e no seu destino;
4. Privilégio Mínimo: Usuários devem ter acesso apenas aos recursos de tecnologia da informação necessários para realizar as tarefas que lhe foram designadas;
5. Segregação de função: Funções de planejamento, execução e controle devem ser segregadas de forma a reduzir oportunidades de modificação, uso indevido, não autorizado ou não intencional dos ativos, bem como permitir maior eficácia dos controles de segurança;
6. Auditabilidade: Todos os eventos significantes de usuários e processos devem ser rastreáveis até o evento inicial por meio de registro consistente e detalhado;
7. Mínima dependência de segredos: Os controles deverão ser efetivos ainda que se conheça a existências deles e como eles funcionam;
8. Resiliência: Os controles de segurança devem ser projetados para que possam resistir ou se recuperarem dos efeitos de um desastre;
9. Defesa em profundidade: Os controles de segurança devem ser concebidos em múltiplas camadas de modo a prover redundância para que, no caso de falha, outro controle possa ser aplicado.
A Estrutura Normativa da Segurança da Informação do GDF é composta por três níveis hierárquicos distintos, relacionados a seguir:
1. Política de Segurança da Informação e Comunicação do GDF (POSIC - GDF): constituída neste documento, define a estrutura, diretrizes gerais, princípios e as obrigações referentes à segurança da informação e comunicação do GDF, servindo de base para elaboração dos demais documentos da estrutura normativa e possui caráter estratégico;
2. Normas de Segurança da Informação e Comunicação (NOSIC): de caráter tático, as normas estabelecem regras para a utilização de ativos e recursos de tecnologia da informação e comunicação com o intuito de atingir os objetivos da Política elaborada pelo GDF;
3. Procedimentos de Segurança da Informação e Comunicação (PROSIC): descrevem, detalhadamente, as medidas operacionais necessárias para atingir os resultados estabelecidos nas Normas e na Política, abordando aspectos técnicos e práticos, adaptados à realidade do ambiente.
Parágrafo Único: A POSIC do GDF tem caráter corporativo e sua elaboração é de competência exclusiva do Comitê Gestor de TIC do Distrito Federal - CGTIC. As NOSIC(s) são de competência dos próprios órgãos e entidades alcançados por esta Política, quando voltadas às suas necessidades específicas.
6. DO CICLO DE VIDA DA INFORMAÇÃO
As medidas de proteção devem ser adotadas durante todo o ciclo de vida da informação, compreendendo as fases de criação, manipulação, armazenamento, transporte e descarte.
7. NORMAS E PROCEDIMENTOS COMPLEMENTARES
As normas e procedimentos que complementam esta Política deverão abordar, mas não limitados a estes, os seguintes aspectos: segurança física; gestão de mudanças; privacidade; criptografia; acesso à rede; gestão de senhas e contas de usuário; dispositivos móveis; gestão de incidentes; plano de continuidade de negócios; proteção à propriedade intelectual; treinamento e sensibilização para segurança.
Esta Política, bem como as normas dela decorrentes, deverão ser disponibilizadas e agrupadas em sítio institucional em local de fácil acesso, proporcionando ampla difusão e atualização simplificada. Em todos os documentos, deverá constar a data de sua publicação e/ou revisão.
Os Procedimentos de Segurança da Informação, por conter informações sensíveis, deverão ser classificados na forma da lei e divulgados para aqueles cujas atribuições exigem conhecimento das mesmas.
Os órgãos e entidades alcançados por esta Política deverão implementar, gradativamente, cinco controles de segurança da informação considerados essencias pelas boas práticas de cibersegurança, os quais formam um conjunto de ações de defesa de alta prioridade contra ataques cibernéticos mais pervasivos:
1. Inventário e controle de ativos corporativos - Gerenciar ativamente (registrar, acompanhar e corrigir) todos os ativos corporativos de TIC – equipamentos de usuários finais, incluindo computadores portáteis e dispositivos móveis; dispositivos de rede; dispositivos IoT; e servidores – conectados fisicamente, virtualmente ou remotamente à infraestrutura corporativa de TI, incluindo aqueles em ambientes de nuvem (cloud computing), com o objetivo de conhecer com precisão todos os ativos de hardware da organização que precisam ser monitorados e protegidos. Medidas mínimas:
• Estabelecer e manter um inventário detalhado de ativos corporativos;
• Endereçar ativos não autorizados;
• Usar uma ferramenta de descoberta ativa;
• Usar o Dynamic Host Configuration Protocol (DHCP) ou ferramentas de gestão de endereço Internet Protocol (IP) para atualizar o inventário de ativos corporativos
2. Inventário e controle de ativos de software - Gerenciar ativamente (registrar, acompanhar e corrigir) todo software – sistemas operacionais e aplicativos – utilizado, de modo que softwares autorizados possam ser instalados e executados nas máquinas e softwares não autorizados/gerenciados possam ser detectados e tenham a instalação/execução impedida. Medidas mínimas:
• Estabelecer e manter um inventário de software;
• Assegurar que o software autorizado seja atualmente suportado;
• Endereçar o software não autorizado;
• Utilizar ferramentas automatizadas de inventário de software;
• Lista de permissões de Software autorizado;
• Lista de permissões de bibliotecas autorizadas.
3. Gestão contínua de vulnerabilidades - Desenvolver plano para avaliar, acompanhar e corrigir continuamente vulnerabilidades em todos os ativos na infraestrutura de TI da organização, incluindo os softwares utilizados, de modo a minimizar a janela de oportunidades para eventuais atacantes. Medidas mínimas:
• Estabelecer e manter um processo de gestão de vulnerabilidade;
• Estabelecer e manter um processo de remediação;
• Executar a gestão automatizada de patches do sistema operacional;
• Executar a gestão automatizada de patches de aplicações;
• Realizar varreduras automatizadas de vulnerabilidade em ativos corporativos internos;
• Realizar varreduras automatizadas de vulnerabilidade em ativos corporativos expostos externamente;
• Corrigir vulnerabilidades detectadas.
4. Conscientização sobre segurança e treinamento de competências - Estabelecer e manter programa contínuo e permanente de conscientização e treinamento, para que os colaboradores tenham conhecimentos adequados em segurança (da informação e cibernética) e, consequentemente, adotem comportamentos e procedimentos que reduzam os riscos para a organização. Treinamentos básicos:
• Reconhecimento de ataques de engenharia social;
• Melhores práticas de autenticação;
• Melhores Práticas de Tratamento de Dados;
• Causas da exposição não intencional de dados;
• Reconhecimento e Comunicação de Incidentes de Segurança;
• Atualizações de segurança dos ativos corporativos;
• Riscos de conexão e transmissão de dados em redes inseguras;
• Competências e conscientização de segurança para funções específicas.
5. Gestão de contas e credenciais – Implementar processos e ferramentas para atribuir e gerenciar autorização de credenciais para contas de usuário, incluindo contas de administrador, bem como contas de serviço, de ativos corporativos e software. Medidas mínimas:
• Estabelecer e manter um inventário de contas;
• Desabilitar contas inativas;
• Restringir privilégios de administrador a contas de Administrador dedicadas;
• Estabelecer e manter um inventário de contas de serviço;
• Centralizar a gestão de contas.
10. DA SEGURANÇA FÍSICA, LÓGICA E DA ATUALIZAÇÃO DO AMBIENTE
As instalações em que as informações críticas ou sensíveis serão processadas deverão ser mantidas em áreas seguras, com níveis e controles de acesso apropriados, incluindo proteção física.
Os equipamentos deverão ser protegidos contra ameaças físicas e ambientais, incluindo aqueles utilizados fora da instalação.
O órgão gestor do do CETIC-DF (Centro de Dados Corporativo Privado do Distrito Federal – Decreto Distrital nº 40.015, de 14 de agosto de 2019) deverá manter sua infraestrutura tecnológica atualizada e licenciada, de modo a assegurar o funcionamento dos sistemas ali mantidos e sustentados.
Os órgãos e entidades usuários dos serviços providos pelo CETIC-DF deverão manter atualizados e licenciados seus sistemas e demais itens de software do seu parque computacional, de modo a permitir que os ativos de infraestrutura tecnológica do centro de dados possam ser atualizados sem obstáculos ou dificuldades, de acordo com o cronograma estabelecido pelos fabricantes contratados.
11. AQUISIÇÃO, DESENVOLVIMENTO E MANUTENÇÃO DE SISTEMAS DE INFORMAÇÃO
Deverão ser desenvolvidas ações que garantam que a segurança seja parte integrante dos sistemas de informação e comunicação existentes, e também os que forem desenvolvidos e adquiridos.
Todos os requisitos de segurança deverão ser identificados na fase de definição de requisitos de um projeto e justificados, acordados e documentados, como parte do caso geral de negócios do sistema de informação.
Cabe ao Comitê Gestor de TIC do Distrito Federal – CGTIC a elaboração de cartilha que estabeleça diretrizes gerais para o desenvolvimento seguro de softwares, que deverá ser amplamente divulgada e disponibilizada aos órgãos e entidades distritais para utilização nas rotinas internas e nos seus Termos de Referência.
Para uma efetiva proteção das informações, as Unidades Administrativas deverão elaborar um plano contínuo de capacitação de recursos humanos em segurança da informação, de modo a promover maior consciência da responsabilidade individual dos usuários e maior independência do Estado na contratação de serviços de segurança.
O descumprimento às diretrizes desta política assim como às suas normas e procedimentos vinculados acarretará em sanções administrativas, sem prejuízo às ações cíveis e criminais cabíveis.
14. COMPETÊNCIAS E RESPONSABILIDADES
Compete à alta administração das Unidades Administrativas do GDF:
1. Apoiar e exigir o cumprimento da Política, Normas e Procedimentos de Segurança da Informação e Comunicação;
2. Zelar para que contratos, convênios e outros instrumentos similares elaborados pela respectiva Unidade Administrativa estejam alinhados à presente política e suas normas adjacentes;
3. Priorizar a capacitação contínua de seus recursos humanos de modo a promover maior independência do Estado na gestão e execução das atividades de segurança da informação e comunicação;
4. Coordenar a execução da POSIC, mobilizando gestores para o cumprimento da Política;
5. Promover a cultura de segurança da informação e comunicação;
6. Exercer outras atividades decisórias afetas à Gestão de Segurança da Informação e Comunicações no âmbito da sua Unidade Administrativa;
7. Instituir o Comitê de Segurança da Informação (CSIC) no âmbito da sua Unidade Administrativa.
DO COMITÊ DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO - CSIC
O CSIC será composto minimamente pela seguinte formação:
1. Gestor de Segurança da Informação, servidor indicado pelo representante máximo do órgão ou entidade, que coordenará as atividades do comitê;
2. Um membro da Área de Segurança Física;
3. Um membro da Área de Segurança Digital;
4. Um membro da Área de Processos Administrativos;
5. Um membro da Área de Normas e Legislação.
Compete ao Comitê de Segurança da Informação e Comunicação:
1. Elaborar e atualizar as Normas de Segurança da Informação e Comunicação (NOSIC) e Procedimentos de Segurança da Informação e Comunicação da sua respectiva Unidade Administrativa, em conformidade com a POSIC, NOSIC(s) do GDF, leis e regulamentos pertinentes;
2. Estabelecer um Programa de Gestão de Riscos, atualizando-o quando necessário;
3. Desenvolver um Plano de Continuidade de Negócios, que deverá ser testado periodicamente;
4. Instituir grupos de trabalho específicos relacionados à segurança da informação;
5. Estabelecer mecanismo de registro e controle de não conformidade a esta Política, Normas e Procedimentos de Segurança da Informação e Comunicação;
§1º As Unidades Administrativas poderão criar Norma de Segurança da Informação e Comunicação (NoSIC) para complementar a Política de Segurança da Informação do GDF, de acordo com suas necessidades.
§2º As Unidades Administrativas que já possuem sua Política de Segurança da Informação publicada deverão revisá-la em conformidade com a PoSIC do GDF e republicá-la em forma de Norma de Segurança da Informação e Comunicação (NoSIC) complementar.
DO GESTOR DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO
Compete ao Gestor da Segurança da Informação e Comunicação:
1. Coordenar o Comitê de Segurança da Informação e Comunicações (CSIC);
2. Monitorar as investigações e as avaliações dos danos decorrentes de quebras de segurança;
3. Cobrar dos respectivos proprietários a classificação das informações na Área sob sua gerência;
4. Propor recursos necessários às ações de segurança da informação e comunicação;
5. Acompanhar estudos de novas tecnologias, quanto a possíveis impactos na segurança da informação e comunicações;
6. Propor Normas e procedimentos relativos à segurança da informação e comunicações;
7. Definir métricas que permitam aferir a eficiência e eficácia dos controles de segurança.
Parágrafo Único: A gestão de segurança da informação deverá somente ser realizada por servidores e empregados públicos.
1. Zelar e fazer cumprir a PoSIC;
2. Identificar desvios de conduta na utilização das informações obtidas durante o exercício das funções de seus subordinados e adotar as medidas preventivas e corretivas apropriadas;
3. Aplicar medidas que visem a garantir que o pessoal sob sua supervisão proteja informações da Unidade Administrativa a que tem acesso;
4. Proteger, em nível físico e lógico, os ativos de informação e de processamento da Unidade Administrativa relacionados com sua área de atuação;
5. Impedir o acesso de pessoal desligado, suspenso ou afastado preventivamente aos ativos de informação sob sua responsabilidade, utilizando-se dos mecanismos previstos no plano de desligamento a ser implementado;
6. Comunicar formalmente o desligamento (exoneração, demissão, transferência, cessão), suspensão ou afastamento preventivo de usuários aos Gestores da Área de Pessoas e aos Proprietários de Informações, os quais deverão notificar a área de Tecnologia da Informação para medidas cabíveis;
7. Colaborar para o levantamento de dados para o Gerenciamento de Riscos da área sob sua gestão e informar novos riscos ainda não mapeados na área em que atua.
1. Observar rigorosamente esta Política de Segurança de Informação e Comunicação, bem como as Normas e Procedimentos a ela vinculados;
2. Assegurar o uso racional dos recursos de Tecnologia da Informação e Comunicação colocados à sua disposição, priorizando o interesse público e institucional;
3. Comunicar a Área competente quaisquer riscos ou incidentes de segurança de que venha a tomar conhecimento;
4. Assegurar-se que as senhas e credenciais para acesso aos ativos de processamento e de informações estejam de acordo com os procedimentos estabelecidos e que as mesmas sejam protegidas e confidenciais, não devendo ser compartilhadas, ou seja, toda senha é de uso PESSOAL e INTRANSFERÍVEL;
5. Manter, obrigatoriamente, os dados críticos da sua Unidade Administrativa em compartilhamentos de rede ou em armazenamento em nuvem disponibilizados pela área de TIC;
6. Não utilizar serviços de e-mail gratuitos, como GMAIL, HOTMAIL, UOL e outros, para atividades institucionais, visto que tais serviços não possuem garantia de autenticidade, disponibilidade e confidencialidade das informações;
7. Ativar e utilizar adequadamente sua conta de e-mail corporativo apenas para fins institucionais e de forma a não cometer qualquer ato que possa prejudicar o trabalho, a imagem de terceiros ou do próprio Estado, em consonância com as determinações legais;
8. Acessar a Internet apenas para navegação em sítios cujo conteúdo esteja adequado aos dispositivos legais, às determinações da Unidade Administrativa e às suas atribuições institucionais.
DAS ÁREAS DE TECNOLOGIA DA INFORMAÇÃO DAS UNIDADES ADMINISTRATIVAS
São obrigações da Área de Tecnologia da Informação das Unidades Administrativas ou do custodiante responsável por prover os serviços de tecnologia para a Unidade Administrativa:
1. Realizar, com a periodicidade necessária, cópias de segurança dos dados armazenados nos compartilhamentos de rede, precavendo-se quanto a catástrofes;
2. Assegurar o pleno e efetivo funcionamento dos recursos de Tecnologia da Informação e Comunicação disponibilizados;
3. Assegurar a integridade e disponibilidade dos ativos que se encontram no seu ambiente computacional;
4. Dar assistência ao CSIC na elaboração Normas e Procedimentos de Segurança da Informação no tocante às informações, comunicações e processos relativos presentes no ambiente computacional;
5. Realizar trabalhos de análise de vulnerabilidade, com o intuito de aferir o nível de segurança dos sistemas de informação que se encontram no ambiente computacional;
6. Requisitar informações às demais áreas de sua Unidade Administrativa, realizar testes e averiguações em sistemas e equipamentos, com o intuito de verificar o cumprimento da Política e das Normas de Segurança da Informação e Comunicação no tocante aos ativos informatizados;
7. Elaborar o Plano de Resposta a Incidentes;
8. Manter registro das atividades de usuários (logs), de maneira a abranger o máximo de ações possíveis dentro dos sistemas e pelo maior tempo possível;
9. Solicitar criação e manutenção de ambiente de correio eletrônico institucional ao Custodiante responsável por prover o serviço de correio eletrônico corporativo e deverá seguir as determinações do Custodiante. Caso a Unidade Administrativa possua estrutura própria de provimento de correio eletrônico deverá seguir as determinações desta POSIC e estabelecer para sua Unidade Administrativa o tamanho limite das mensagens de correio eletrônico para envio e recebimento, incluindo anexos;
10. Adotar como padrão de endereço de e-mail corporativo o formato @.df.gov.br;
11. Priorizar o uso institucional do acesso à internet, podendo bloquear e/ou limitar acesso a determinados sítios de Internet e estabelecendo categorias passíveis de acesso em horários restritos;
12. Instalar sistemas operacionais nos computadores de sua Unidade devidamente licenciados e mantê-los atualizados;
13. Instalar itens de softwares e mecanismos de proteção (minimamente, anti-vírus e firewall nas estações de trabalho) devidamente licenciados e mantê-los atualizados;
14. Instalar e permitir a instalação apenas de software devidamente licenciado e homologado, de modo a não comprometer a segurança do ambiente;
15. Manter atualizados e licenciados os sistemas e demais itens de software do parque computacional.
São obrigações do Proprietário da Informação:
1. Identificar e definir as informações críticas e os requisitos de confidencialidade, integridade, disponibilidade, autenticidade e não repúdio;
2. Classificar e rever periodicamente a classificação dos ativos sob sua propriedade que requerem algum grau de sigilo, observando a legislação em vigor;
3. Participar do processo de avaliação e aceitação de risco;
4. Participar nas decisões relacionadas a qualquer violação de segurança dos ativos sob sua propriedade;
5. Autorizar a liberação de acesso à informação sob sua responsabilidade;
6. Revogar a liberação de acesso à informação sob sua responsabilidade, após recebidos comunicados de desligamento, suspensão ou afastamento preventivo de servidores;
7. Participar da definição dos critérios para estabelecer perfis de acesso a informações sob sua responsabilidade;
8. Participar da investigação de incidentes de segurança relacionados à informação sob sua responsabilidade;
9. Participar, sempre que convocado, das reuniões do Comitê de Gestão de Segurança da Informação, prestando os esclarecimentos solicitados.
DO CUSTODIANTE DOS ATIVOS DA INFORMAÇÃO
São obrigações do Custodiante dos Ativos da Informação:
1. Prestar assistência ao Proprietário da Informação na definição dos procedimentos operacionais e de controle, referentes a manuseio, armazenamento e disposição final dos ativos;
2. Controlar e proteger os ativos sob sua custódia;
3. Realizar, verificar e manter cópias de segurança (backups) dos ativos de informação sob sua custódia, em conformidade com a Política de Backup do GDF, a menos que outra solução seja acordada formalmente entre o proprietário da informação e o custodiante.
4. Comunicar a respectiva área da TIC e ao proprietário da informação qualquer incidente de segurança que afete os ativos sob sua custódia;
5. Implementar os controles de segurança e contratar, se necessário, bens e serviços de Segurança da Informação e Comunicação.
DO GRUPO DE RESPOSTA A INCIDENTES DE SEGURANÇA (CSIRT)
Todas as Unidades Administrativas alcançadas por esta Política deverão instituir um Grupo de Resposta a Incidentes de Segurança (CSIRT - Computer Security Incident Response Team), que será responsável por:
1. Suspender, a qualquer tempo, o acesso de usuário ou processo a informações ou recursos de tecnologia da informação e comunicação, quando evidenciados riscos à segurança da informação, notificando, de imediato, o Gestor de Segurança da Informação e Comunicação;
2. Dar tratamento e encaminhamento aos incidentes de redes, tomando as medidas necessárias para conter as ameaças, minimizar os impactos e evitar futuras ocorrências, restabelecendo juntamente com o setor responsável, a integridade, confidencialidade e disponibilidade dos ativos;
3. Registrar, classificar e filtrar as notificações de Incidentes de Segurança;
4. Executar o Plano de Resposta a Incidentes;
5. Recolher e preservar as evidências para subsidiar a forense computacional;
6. Investigar as causas dos incidentes no ambiente computacional.
Parágrafo Único: As Unidades Administrativas que ainda não possuírem estrutura para a criação de um CSIRT deverão repassar as responsabilidades para sua área de Tecnologia da Informação e Comunicação ou para a unidade responsável por custodiar os ativos de informação da Unidade Administrativa.
Esta Política, Normas e Procedimentos que dela se originarem deverão ser atualizadas a cada 2 anos, ou quando houver mudanças significativas que afetem a base de avaliação de risco original ou o contexto organizacional.
§1º Caberá ao Comitê Gestor de TIC do GDF (CGTIC) a responsabilidade pela atualização permanente da estrutura normativa;
§2º Caberá às Unidades Administrativas a elaboração de normas e procedimentos de Segurança da Informação e Comunicação nos casos que não forem contemplados pelo CGTIC.
Este documento tem o condão de revisar a POSIC do GDF, e deverá nortear a elaboração de outros documentos relacionados à Segurança da Informação, os quais deverão observar as diretrizes e terminologias aqui apresentadas no intuito de assegurar um padrão documental.
Os dispositivos aqui estabelecidos apresentam as principais atividades a serem desenvolvidas. A sua priorização será definida pelos Gestores e Comitês aqui nominados. Com esta POSIC, o GDF reafirma seu compromisso com a segurança de seus ativos e a prestação de serviços de excelência à sociedade e reitera aos usuários de suas informações a responsabilidade no cumprimento da Política ora apresentada.
O Comitê Gestor de Tecnologia da Informação e Comunicação do Distrito Federal (CGTIC-DF) reconhece a importância do gerenciamento da Segurança da Informação, embora muitas ações de segurança têm sido implementadas de forma reativa e por iniciativas individuais.
A necessidade da elaboração da Política de Segurança da Informação (POSIC) decorre do imperativo de atender às recomendações do Tribunal de Contas e da Controladoria-Geral do Distrito Federal, dentre outros órgãos, bem como estruturar as boas práticas já existentes.
Com a implantação da POSIC e das demais ações e políticas que dela decorrerão, busca-se garantir a proteção das informações e de outros ativos críticos das Unidades Administrativas do DF, com o intuito de assegurar ao GDF a continuidade de suas atividades.
A instituição da POSIC do GDF não elimina a necessidade de outras ações e políticas voltadas para a proteção das informações produzidas ou manipuladas com o uso de recursos de tecnologia da informação. Tais ações e políticas deverão ser elaboradas e implantadas de maneira contínua, contemplando as três principais áreas meio que estruturam uma Unidade Administrativa: infraestrutura, pessoas e tecnologia da informação.
18. DOS CONCEITOS E DEFINIÇÕES
Para efeitos desta Política, adotam-se os seguintes conceitos e definições:
1. Aceitação de Risco: decisão de aceitar um risco. A aceitação pode ser necessária em razão do custo benefício para se proteger um ativo ou devido ao risco residual remanescente após o tratamento de riscos;
2. Ameaça: são agentes ou condições causadoras de incidentes contra ativos. Exploram as vulnerabilidades, ocasionando perda de confidencialidade, integridade ou disponibilidade; Alta Administração: dirigentes máximos da unidade, como Secretários de Estado e Subsecretários;
3. Análise / Avaliação de Risco: processo de identificação de ameaças e vulnerabilidades associadas a um ativo de modo a estimar a probabilidade e o impacto na ocorrência de um incidente;
4. Armazenamento em nuvem: método de armazenamento de dados que permite que servidores e aplicações acessem os dados por meio de sistemas de arquivos compartilhados, utilizando internet pública ou uma conexão de rede privada dedicada;
5. Ativo: é tudo aquilo que tenha valor para a organização e consequentemente exige proteção;
6. Autenticidade: garantia de que o dado ou informação são verdadeiros;
7. Backup / Cópia de Segurança: é o processo de cópia de dados de um dispositivo de armazenamento para outro com o objetivo de proporcionar a proteção contra a perda dos originais;
8. Classificação da Informação: é o processo de identificar e definir níveis e critérios de proteção adequados para as informações de forma a garantir sua confidencialidade, integridade e disponibilidade, de acordo com a importância para a organização;
9. Confidencialidade: garantia de que o acesso à informação seja obtido somente por pessoas autorizadas;
10. Controle de Acesso: são restrições de acesso a um ativo da organização;
11. Controle de Segurança: são práticas de gestão de risco (políticas, normas, procedimentos ou mecanismos) que podem proteger os ativos contra ameaças, reduzir ou eliminar vulnerabilidades, limitar o impacto de um incidente ou ajudar na sua detecção;
12. Custódia: responsabilidade de se guardar um ativo para terceiros. A custódia não permite automaticamente o direito de acesso ao ativo, nem a capacidade de conceder direito de acesso a outros;
13. Custodiante: indivíduo a quem é dada a custódia de um ativo;
14. Direito de Acesso: privilégio associado a um usuário para ter acesso a um ativo;
15. Diretriz: o que deve ser feito e como, para atender aos objetivos declarados na política;
16. Disponibilidade: garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário;
17. Engenharia Social: tentativa de extrair informações de uma vítima, usando informações corretas ou nome de pessoas conhecidas;
18. Forense Computacional: Conjunto de técnicas para coleta e exame de evidências digitais, reconstrução e dados e ataques, identificação e rastreamento de invasores;
19. Grupo de Resposta a Incidentes de Segurança em Computadores (CSIRT - Computer Security Incident Response Team): grupo de pessoas com a responsabilidade de receber, analisar e responder a notificações e atividades relacionadas a incidentes de segurança em computadores;
20. Gestor de área: responsável por qualquer unidade de uma organização, tais como: chefes de núcleo, coordenadores, gerentes, diretores e todos os demais dirigentes que mantêm subordinados sob sua responsabilidade.
21. Gestão de Riscos: Atividade contínua de identificação, análise, tratamento, aceitação e comunicação de riscos;
22. Gestor de Segurança da Informação e Comunicação: é responsável pelas ações de segurança da informação e comunicações no âmbito da Unidade Administrativa;
23. Impacto: Tamanho do prejuízo, medido através de propriedades mensuráveis ou abstratas, que a concretização de uma determinada ameaça causará;
24. Incidente de Segurança: Qualquer evento que resulte no descumprimento da Política de Segurança da Informação e Comunicação que possa representar ameaça aos ativos, tais como: quebra da segurança, fragilidade, mau funcionamento, vírus, acesso indevido ou desnecessário a pastas/diretórios de rede, acesso indevido à internet ou programas instalados sem conhecimento da área de Tecnologia da Informação;
25. Integridade: salvaguarda da exatidão e completeza da informação e dos métodos de processamento;
26. Log: é uma expressão utilizada para descrever o processo de registro de eventos relevantes num sistema computacional. Os registros devem conter hora e data das atividades, identificação do usuário, comandos e argumentos executados, identificação da estação local ou da estação remota que iniciou a conexão, entre outros;
27. Monitoramento: atividade de verificação manual ou automática de eventuais ameaças, incidentes de segurança ou quaisquer descumprimentos às diretrizes presentes na Política, Normas ou Procedimentos de Segurança da Informação e Comunicação;
28. Não repúdio: garantia de segurança de informação que impede uma entidade de negar ter participado de uma dada operação.
29. Plano de Continuidade de Negócio (PCN): documento que estabelece mecanismos para restabelecer a atividade de uma organização, em caso de interrupção.
30. Plano de Resposta a Incidentes: documento que estabelece metodologias que visam minimizar o impacto de um incidente e permitir o restabelecimento dos serviços o mais rápido possível
31. Proprietário: Indivíduo que, em virtude de suas funções ou atribuições legais, tenha poder de decisão para identificar e classificar as informações geradas por sua área de gerência;
32. Proteção: vide Controle de Segurança;
33. Recursos de Tecnologia da Informação e Comunicação: conjunto de recursos tecnológicos integrados entre si, que proporcionam, por meio de hardware e software, a criação, acesso, armazenamento, transmissão e processamento de dados e informações;
34. Risco: é a probabilidade de uma determinada ameaça se concretizar, combinada com os impactos que ela trará;
35. Segurança da Informação: é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio;
36. Servidor Público: pessoa física que exerce cargo, emprego ou função pública;
37. Tratamento do risco: processo de seleção e implementação de controles de segurança;
38. Usuário: Qualquer pessoa, física ou jurídica ou processo em um sistema computacional que faça uso dos recursos de tecnologia da informação e Comunicação relativos ao GDF;
39. Vulnerabilidade: são fragilidades associadas aos ativos que os tornam susceptíveis às ameaças.
19. DAS REFERÊNCIAS LEGAIS E NORMATIVAS
Foram utilizadas as seguintes referências legais e normativas para elaboração desta política:
1. Lei Complementar nº 840, de 23 de dezembro de 2011 - Dispõe sobre o regime jurídicos dos servidores públicos civis do Distrito Federal, das autarquias e das fundações públicas distritais;
2. Lei Federal nº 12.965, de 23 de abril de 2014 - Estabelece princípios, garantias, direitos e deveres para uso da Internet no Brasil;
3. Lei Federal nº 13.709, de 14 de agosto de 2018 – Lei Geral de Proteção de Dados Pessoais (LGPD);
4. Lei Federal nº 12.737, de 30 de novembro de 2012 - Dispõe sobre a tipificação criminal de delitos informáticos; altera o Decreto-Lei no 2.848, de 7 de dezembro de 1940 - Código Penal; e dá outras providências;
5. Lei Federal nº 12.735, de 30 de novembro de 2012 - Altera o Decreto-Lei no 2.848, de 7 de dezembro de 1940 - Código Penal, o Decreto-Lei no 1.001, de 21 de outubro de 1969 - Código Penal Militar, e a Lei no 7.716, de 5 de janeiro de 1989, para tipificar condutas realizadas mediante uso de sistema eletrônico, digital ou similares, que sejam praticadas contra sistemas informatizados e similares; e dá outras providências;
6. Decreto Federal nº 7.724 de 16 de maio de 2012 - Regulamenta a Lei no 12.527, de 18 de novembro de 2011, que dispõe sobre o acesso a informações previsto no inciso XXXIII do caput do art. 5º no inciso II do § 3º do art. 37 e no § 2ºdo art. 216 da Constituição;
7. Lei Federal nº 12.527, de 18 de novembro de 2011 - Regula o acesso a informações previsto no inciso XXXIII do art. 5o, no inciso II do § 3º do art. 37 e no § 2º do art. 216 da Constituição Federal; altera a Lei nº 8.112, de 11 de dezembro de 1990; revoga a Lei nº 11.111, de 5 de maio de 2005, e dispositivos da Lei no 8.159, de 8 de janeiro de 1991; e dá outras providências;
8. Lei Federal nº 9.609, de 19 de fevereiro de 1998 - Dispõe sobre a proteção da propriedade intelectual de programa de computador, sua comercialização no País, e dá outras providências;
9. Decreto Federal nº 4.553, de 27 de dezembro de 2002 - Dispõe sobre a salvaguarda de dados, informações, documentos e materiais sigilosos de interesse da segurança da sociedade e do Estado, no âmbito da Administração Pública Federal, e dá outras providências;
10. Instrução Normativa SGD/ME nº 94, de 23 de dezembro de 2022 - Dispõe sobre o processo de contratação de soluções de Tecnologia da Informação e Comunicação - TIC pelos órgãos e entidades integrantes do Sistema de Administração dos Recursos de Tecnologia da Informação - SISP do Poder Executivo Federal;
11. Decreto Distrital nº 45.011, de 27 de setembro de 2023 – Acrescenta o art.269-A ao Decreto Distrital nº 44.330, de 16 de março de 2023, e adota, na Administração Pública Direta e Indireta do Distrito Federal, excetuadas as empresas estatais independentes, a regulamentação editada pela União sobre as contratações de bens e serviços de tecnologia da informação;
12. Decreto Distrital nº 35.382, de 29 de abril de 2014 - Regulamenta o art. 42, da Lei nº 4.990, de 12 de dezembro de 2012, dispõe sobre os procedimentos para credenciamento de segurança, sobre o Núcleo de Segurança e Credenciamento, institui o Comitê Gestor de Credenciamento de Segurança, e dá outras providências;
13. Lei Distrital nº 4.990, de 12 de dezembro de 2012 - Regula o acesso a informações no Distrito Federal previsto no art. 5º, XXXIII, no art. 37, § 3º, II, e no art. 216, § 2º, da Constituição Federal e nos termos do art. 45, da Lei federal nº 12.527, de 18 de novembro de 2011, e dá outras providências;
14. Decreto Distrital nº 25.750, de 12 de abril de 2005 - Regulamenta a Lei nº 2.572, de 20 de julho de 2000, que "Dispõe sobre a prevenção das entidades públicas do Distrito Federal com relação aos procedimentos praticados na área de informática";
15. Lei Distrital nº 2.572, de 20 de julho de 2000 - Dispõe sobre a prevenção das entidades públicas do Distrito Federal com relação aos procedimentos praticados na área de informática;
16. ABNT NBR 15999-1:2015 - Gestão de continuidade de negócios - Estabelece o processo, os princípios e a terminologia da gestão da continuidade de negócios (GCN);
17. ABNT NBR ISO/IEC 27001:2022 - Tecnologia da informação - Técnicas de segurança - Sistemas de gestão de segurança da informação - Requisitos. Especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação documentado dentro do contexto dos riscos de negócio globais da organização;
18. ABNT NBR ISO/IEC 27002:2022 - Tecnologia da informação - Técnicas de segurança - Código de prática para a gestão da segurança da informação - Estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização;
19. ABNT ISO GUIA 73:2009 - Gestão de riscos - Vocabulário - Fornece as definições de termos genéricos relativos à gestão de riscos;
20. ABNT NBR ISO 27701:2019 - Técnicas de segurança — Extensão da ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 para gestão da privacidade da informação — Requisitos e diretrizes.
21. Norma Complementar nº 03/IN01/DSIC/GSIPR - Estabelece diretrizes para a Elaboração de Política de Segurança da Informação e Comunicações nos Órgãos e Entidades da Administração Pública Federal.
Este texto não substitui o publicado no DODF nº 95, seção 1, 2 e 3 de 20/05/2024 p. 54, col. 2