Portaria PRODAP nº 48 DE 27/10/2021

Norma Estadual - Amapá - Publicado no DOE em 27 out 2021

Dispõe sobre a Política de Segurança da Informação.

O Presidente do Centro de Gestão da Tecnologia da Informação no uso das atribuições que lhe são conferidas, pelo Decreto nº 0052 de 02 de janeiro de 2015 e Lei nº 0310 de 05 de dezembro de 1996 e alteração - Lei nº 318 de 23 de dezembro de 1996.

Resolve:

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

TÍTULO I - DAS DISPOSIÇÕES PRELIMINARES

Art. 1º A informação constitui um ativo valioso e de extrema importância para a preservação de uma empresa e necessita ser convenientemente protegida, independentemente de sua natureza ou de sua origem.

Art. 2º Segurança da Informação consiste na adoção de medidas para proteção da informação das diversas ameaças com a finalidade de atingir os seguintes objetivos:

I - confidencialidade: garantir que as informações tratadas sejam de conhecimento exclusivo de pessoas especificamente autorizadas;

II - integridade: garantir que as informações sejam mantidas íntegras, sem modificações indevidas - acidentais ou propositais;

III - disponibilidade: garantir que as informações estejam disponíveis a todas as pessoas autorizadas a tratá-las;

IV - autenticidade: confirmar a identidade de quem se diz ser.

Art. 3º Esta política apresenta diretrizes para orientar as ações para iniciar, implementar, manter e melhorar a gestão da segurança da informação de maneira a promover a criação de alicerces para a proteção da informação.

Art. 4º A Política de Segurança da Informação é uma declaração formal acerca do compromisso com a proteção, controle e monitoramento das informações processadas, armazenadas, transmitidas ou custodiadas, de sua propriedade e/ou sob sua guarda.

Art. 5º As diretrizes apresentadas nesta Política foram baseadas nas recomendações das publicações da família de normas NBR ISO/IEC 27000.

TÍTULO II - DA ESTRUTURA DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

CAPÍTULO I - DO OBJETIVO, ABRANGÊNCIA E IMPLEMENTAÇÃO

Art. 6º O objetivo desta política de segurança da informação é orientar as ações e procedimentos que viabilizem a disponibilidade, integridade, confidencialidade e autenticidade das informações críticas, a fim de garantir a continuidade e competitividade do negócio, indicando a finalidade, a direção, os princípios e as regras básicas da gestão de segurança da informação.

§ 1º Esta Política também orienta a conduta das pessoas no uso adequado e seguro dos recursos de informação.

§ 2º Esta Política também considera orientar o tratamento que deve ser dado às informações armazenadas, processadas e/ou transmitidas no ambiente convencional e/ou no ambiente de tecnologia da Instituição.

§ 3º As orientações apresentadas neste documento são os princípios fundamentais que representam como a Instituição exige que a informação seja utilizada.

Art. 7º Sempre que este documento fizer referência ao PRODAP no escopo de organização, essa referência se estende às organizações subsidiárias do Governo do Estado do Amapá - GEA ou que façam parte do Centro de Gestão da Tecnologia da Informação - PRODAP e se aplica a todos os tipos de informações, independentemente do formato (documentos em papel ou formato eletrônico, aplicativos e bancos de dados, conhecimentos de pessoas, etc).

§ 1º Este documento aplica-se a todo o escopo do Sistema de Gestão da Segurança da Informação - SGSI, como definido no documento de escopo do SGSI.

§ 2º Para todos os fins legais, esta Política de Segurança da Informação (PSI) considera a observância das seguintes recomendações do Centro de Gestão da Tecnologia da Informação (PRODAP), baseadas em Leis, Normativos e outros Dispositivos legais aplicáveis a esta PSI, no que se refere as Normas e Procedimentos adicionais que devem ser elaborados para atender aos requisitos legais da Lei de Acesso Informação (LAI), Lei Federal nº 12.527 de 18 de novembro de 2011; Marco Civil da Internet, Lei Federal nº 12.965, de 23 de abril de 2014; Lei contra Crimes Cibernéticos, Lei Federal nº 14.155 de 27 de maio de 2021; Lei Geral de Proteção de Dados Pessoais (LGPD), Lei Federal nº 13.709 de 14 de agosto de 2018; Lei que dispõe sobre participação, proteção e defesa dos direitos do usuário dos serviços públicos da administração pública, Lei Federal nº 13.460, de 26 de junho de 2017; Lei que dispõe sobre o Regime Jurídico dos Servidores Públicos Civis do Estado do Amapá, das Autarquias e Fundações Públicas Estaduais, Lei Estadual nº 066 de 03 de maio de 1993, e a Lei que dispõe sobre a criação do PRODAP, além do Estatuto e Regimento Interno da Instituição, Lei Estadual nº 0310 de 05 de dezembro de 1996.

§ 3º A PSI também considera a observância da implantação de modelos de governança de Tecnologia da Informação (TI) que incluam planejamento estratégico institucional, planejamento estratégico de Tecnologia da Informação, Comunicação, Comitê Gestor de Segurança da Informação e Comitê de Apoio à Governança em Privacidade.

§ 4º Considera ainda a necessidade de estabelecer papéis e responsabilidades que permitam garantir aos serviços/processos de negócio do PRODAP a Confidencialidade, Integridade e Disponibilidade.

§ 5º Considera também que o Comitê Gestor de SI e o Comitê de Apoio à Governança em Privacidade do PRODAP caminhe rumo à Governança de TI e a Governança em Privacidade, visando a adequação às boas práticas em Segurança da Informação e Privacidade de Dados Pessoais. Definimos assim a Política de Segurança da Informação do PRODAP.

§ 6º As demais Políticas, Normas e/ou Procedimentos de tópicos específicos de referência, precisam de maneira compulsória, estarem de acordo com esta Política de Segurança da Informação, ao qual foi desenvolvida para servir de alicerce vital à execução de processos que garantam a Segurança da Informação, além de serem conhecidas e seguidas pelos colaboradores, clientes, fornecedores, parceiros e outros.

Art. 8º A Coordenadoria de Segurança da Informação (CSI), é responsável pela implantação e continuidade dessa Política de Segurança da Informação.

CAPÍTULO II - DAS DEFINIÇÕES

Art. 9º As definições e termos relativos à Segurança da Informação estão descritas no regulamento "Definições Utilizadas nas Políticas de Segurança da Informação."

CAPÍTULO III - DOS DOCUMENTOS DE REFERÊNCIA DA ESTRUTURA NORMATIVA DA PSI

Art. 10. As Políticas e Documentos de Tópicos Específicos são:

I - Políticas:

a) Política de E-mail Corporativo;

b) Política de Controle Criptográfico;

c) Política de Classificação da Informação;

d) Guia de Desenvolvimento Seguro.

II - Normas Básicas:

a) acesso à internet;

b) uso Seguro de Redes Sociais;

c) acesso ao correio eletrônico;

d) backup e recuperação de dados;

e) gestão de ativos;

f) proteção contra códigos maliciosos;

g) segurança física;

h) controle de Acesso Lógico;

i) uso de dispositivos móveis;

j) descarte de Dados;

k) descarte de documento em papel;

l) declaração de Confidencialidade;

m) senhas;

n) mesa limpa e Tela limpa.

III - Normas Adicionais:

a) classificação de informações;

b) aquisição, Desenvolvimento e Manutenção de Aplicações;

c) gerenciamento de incidentes;

d) gerenciamento de riscos;

e) gerenciamento de continuidade de negócios;

f) gerenciamento de mudanças;

g) intercâmbio de Informações;

h) segurança em Terceirização e Prestação de Serviços;

i) uso da computação em nuvem;

j) trabalho Remoto;

k) acesso Remoto;

l) documento sobre o escopo do SGSI;

m) metodologia de avaliação e tratamento de riscos;

n) declaração de aplicabilidade;

o) lista de obrigações Legais, Regulamentares e Contratuais.

IV - Procedimentos:

a) procedimentos de resposta a incidentes.

CAPÍTULO IV - DA DECLARAÇÃO DE COMPROMETIMENTO DA DIREÇÃO

Art. 11. A Alta Direção deve aprovar a política de segurança da informação e providenciar sua divulgação, tornando público para toda a Instituição o seu comprometimento com a segurança da informação através de veículo de comunicação oficial.

CAPÍTULO V - DAS RESPONSABILIDADES MÍNIMAS PELA SEGURANÇA DA INFORMAÇÃO

Art. 12. Cabe a Coordenadoria de Segurança da Informação:

I - Discutir as proposições de políticas e normas de Segurança da Informação;

II - Acompanhar a implantação dos Projetos de Segurança da Informação;

III - Apoiar a revisão periódica do Planejamento Estratégico de Segurança da Informação, buscando o alinhamento com o Plano Estratégico;

IV - Apoiar e auditar o cumprimento a Política de Segurança da Informação;

V - Apoiar o órgão no que tange ao cumprimento às exigências legais, normas e resoluções nos aspectos relativos à Segurança da Informação.

VI - Elaborar Planos de Ação específicos, objetivando a implementação da Política de Segurança da empresa;

VII - Gerenciar o cumprimento da Política de Segurança da Instituição;

VIII - Revisar periodicamente a Política de Segurança sugerindo ações que se façam necessárias;

IX - Elaborar e executar Planos de Auditoria com base na Política de Segurança da empresa;

X - Assegurar a conformidade da Instituição com a sua Política de Segurança.

XI - Assegurar que a Instituição esteja em conformidade com a Lei Geral de Proteção de Dados, no que se refere a aplicação de medidas de segurança, a fim de mitigar incidentes de divulgação não autorizada de Dados pessoais de usuários, clientes, parceiros e outros.

XII - Apoiar o gerenciamento das plataformas para prevenção, detecção e reação a incidentes de segurança;

XIII - Apoiar o Tratamento e respostas a incidentes lógicos de segurança da informação;

XIV - Apoiar o processo de análise e avaliação de vulnerabilidades.

Art. 13. Cabe à Coordenadoria de Data center

I - Implementar mecanismos de proteção (segurança lógica) nas plataformas tecnológicas (Banco de Dados, Sistema Operacional, Rede, armazenamento, etc.) sob a sua responsabilidade;

II - Implantar mecanismos de segurança lógica e física;

III - Reportar a ocorrência de incidentes e não conformidades de Segurança à área de Segurança da Informação;

IV - Cumprir a Política de Segurança da Informação;

V - Implementar mecanismos de proteção do perímetro;

VI - Monitorar os serviços de proteção;

VII - Implantar mecanismos de tratamento e respostas a incidentes.

Art. 14. Cabe a Gerência de Governança e Qualidade

I - Fornecer as diretrizes estratégicas do negócio para orientar as atividades de Segurança da Informação;

II - Apoiar, sugerir, para garantir a implementação e monitoração que atuam nas ações de Segurança da Informação;

III - Reportar a ocorrência de incidentes e não conformidades de Segurança da Informação à área de TIC;

IV - Cumprir a Política de Segurança da Informação.

Art. 15. Cabe à Gerência de Recursos Humanos

I - Informar aos responsáveis pelo gerenciamento das credenciais sobre as mudanças nos acessos dos colaboradores;

II - Reportar a ocorrência de incidentes e não conformidades de Segurança da Informação à área de TIC;

III - Cumprir a Política de Segurança da Informação.

Art. 16. Cabe à Gerência de Sistemas

I - Coordenar Projetos, Sistemas, Produtos e Treinamentos em Desenvolvimento de Software;

II - Implantar, Racionalizar e Redesenhar Processos;

III - Desenvolver e Integrar Sistemas;

IV - Coordenar e Orientar Equipes de Desenvolvimento sobre as Diretrizes dos Projetos;

V - Assegurar o desenvolvimento e a retenção de conhecimento técnico a fim de mitigar incidentes;

VI - Participar do processo de planejamento estratégico da Instituição.

VII - Garantir a implantação de segurança no processo e no código dos sistemas desenvolvidos;

VIII - Garantir que a base de tratamento dos sistemas, estejam em conformidade com as diretrizes da Lei Geral de Proteção de Dados - LGPD;

IX - Planejar, medir e estimar a produtividade e a qualidade dos softwares desenvolvidos;

X - Assegurar que ferramentas e metodologias de softwares, sejam adotadas de maneira eficiente;

XI - Assegurar a capacidade de reutilização dos processos de desenvolvimento;

XII - Assegurar a realização de testes de intrusão para identificação de fragilidades nos sistemas, antes que o mesmo seja lançado.

Art. 17. Cabe ao Proprietário da Informação

I - Determinar o nível de relevância e classificação correta das informações utilizadas nos ativos sob sua responsabilidade, de forma a subsidiar as decisões de classificação a serem aplicadas;

II - Reportar a ocorrência de incidentes e não conformidades de Segurança da Informação à área de TIC;

III - Cumprir a Política de Segurança da Informação.

Art. 18. Cabe aos Usuários Internos e Externos

I - Reportar a ocorrência de incidentes e não conformidades de Segurança da Informação à área de TIC;

II - Cumprir a Política de Segurança da Informação.

CAPÍTULO VI - DAS DIRETRÍZES

Art. 19. Normas para Gestão de Ativos

I - Responsabilidade pelos Ativos - Deve ser definido um proprietário e responsabilidades para proteção dos ativos de informação. O proprietário do ativo, ou custodiante da informação, deve gerenciar os ativos durante todo o seu ciclo de vida, que compreende: criação, processamento, movimentação, armazenamento e descarte.

II - Classificação da Informação - Toda informação armazenada ou mantida pela Instituição deve ser classificada de acordo com o seu valor, requisitos legais, sensibilidade e criticidade. Definir regras para que os ativos de tecnologia da informação sejam devidamente identificados, inventariados e classificados em função de sua relevância para o processo de negócio a que se destinam.

a) A guarda, disponibilização, circulação e descarte das informações, devem ser disciplinados por procedimentos, formalmente estabelecidos.

III - Política de Backup - Devem ser estabelecidos regras e procedimentos para as atividades de backup, armazenamento e recuperação de dados. A política de backup deve prever o local e a forma de armazenamento, o tempo de retenção, mecanismos de teste de recuperação dos dados, meios para o descarte seguro das mídias do backup, dentre outros.

Art. 20. Normas para Segurança em Recursos Humanos

I - Antes da Contratação - Prever em Edital público e em cláusula contratual, uma seleção criteriosa, especificando a obrigatoriedade da apresentação de cópias de certidões negativas de registros civis, criminais, e assinatura de termo de sigilo.

a) Realizar avaliação de perfil com a finalidade de detectar incompatibilidades ao cargo proposto e suas atividades.

b) Toda contratação deverá em seus termos de responsabilidade, contemplar a proteção ao conhecimento sensível através de acordos de confidencialidade, inclusive com as prestadoras de serviços, devendo especificar também os direitos e deveres que o contratado terá referente às informações, assim como à segurança destas.

II - Durante a Contratação - Deverão ser definidos os requisitos de segurança necessários para exercer cargos e funções de natureza sensível na Instituição, assim como, o grau de sensibilidade dos cargos e das funções existentes, no intuito de identificar formalmente aqueles que, em razão de suas atribuições, tarefas e responsabilidades, possam acessar informações de conhecimento sensível.

a) As credenciais de acesso, só deverão ser entregues ao(s) contratado(s) quando todos os documentos que descrevem as responsabilidades forem assinados;

b) Caso a atividade a ser desenvolvida implique a custódia de ativos, estes, assim como as credenciais de acesso, só deverão ser fornecidos após a assinatura de toda documentação pertinente.

III - Encerramento e Mudança na Contratação - Estes processos deverão contemplar a comunicação com o(s) responsável(is) pelo gerenciamento das credenciais de acesso, objetivando que estas estejam em conformidade com as alterações:

a) normatizar procedimentos de desligamento, de forma a interromper o acesso e a vinculação da empresa ao colaborador desligado bem como o procedimento de devolução de ativos sobre custódia do(s) contratado(s).

b) realizar a entrevista de desligamento objetivando detectar o grau de satisfação dos colaboradores com a empresa e lembrar a estes da permanência do sigilo de informações as quais tinham acesso durante o vínculo empregatício.

IV - Termo de Confidencialidade e Sigilo - Todos os colaboradores da empresa devem assinar o Acordo de Confidencialidade.

a) No caso dos prestadores de serviço, o sigilo deve ser também observado em cláusulas contratuais.

Art. 21. Normas para Controle de Acesso Lógico

I - Acesso à Rede, Sistema Operacional e Aplicações:

a) o acesso aos recursos computacionais deve ser individual, pessoal e intransferível;

b) o usuário é responsável pela guarda de sua senha e pelo acesso aos recursos computacionais realizados através da sua credencial de acesso;

c) o controle de acesso lógico deve ser composto de processos para autenticação, autorização e auditoria;

d) o acesso lógico à rede deve ser controlado de forma centralizada através de procedimentos formais a partir do perfil de cada usuário, no qual estará definido seu nível de autorização;

e) todo serviço de rede não autorizado deve ser bloqueado ou desabilitado;

f) todas as transações em rede devem, obrigatoriamente, estar protegidas através de mecanismos de segurança;

g) o acesso a sistemas e aplicações deve sempre ocorrer através de um procedimento seguro de acesso ao sistema (login), projetado para minimizar oportunidades de acessos não autorizados;

h) o acesso aos ativos deve estar estritamente vinculado à execução do trabalho de cada usuário, e deve ser concedido em conformidade ao princípio do privilégio mínimo.

II - Uso de Dispositivos Móveis - A política de uso de dispositivos móveis na Instituição deve ser regulamentada através de normas e procedimento de segurança.

a) Todo dispositivo móvel somente poderá ser utilizado para acessar à rede e/ou recursos computacionais, caso ofereça suporte para autenticação, mínima de usuário e senha;

b) Procedimentos adicionais devem ser elaborados para assegurar a gestão e monitoramento destes equipamentos.

III - Trabalho Remoto - Estabelecer norma e procedimento quanto ao uso, gestão, responsabilidades e controle dos acessos efetuados por usuários (internos, clientes e empresa externas), fora das instalações físicas da Instituição, para uso da sua rede, sendo chamado de trabalho remoto.

IV - Política de Logging - Adotar solução de análise e gestão de LOGs que permita a geração de relatórios e emissão automática de alertas de eventos que possam representar riscos para a segurança da infraestrutura tecnológica e dos sistemas de informação.

Art. 22. Normas para Criptografia

§ 1º Assegurar o uso efetivo e adequado da criptografia visando a proteção, a confidencialidade, autenticidade e/ou a integridade da informação.

I - Requisito NBR ISO/IEC 27002:2013 relacionado ao item "10. Criptografia".

§ 2º Gestão de Chaves Criptográficas - Definir um processo formal para proteger chaves criptográficas, contemplando requisitos referentes ao gerenciamento ao longo de todo o seu ciclo de vida incluindo a geração, a armazenagem, o arquivo, a recuperação, a distribuição, a retirada e a destruição das chaves considerando a geração de registro e auditoria das atividades relacionadas com o gerenciamento destas.

§ 3º Política de Criptografia - Definir repositório para controle de chaves criptográficas.

I - O repositório deve controlar todas as chaves públicas e privadas do PRODAP e/ou GEA;

II - Todas as chaves devem ser inventariadas e informadas via sistema ou outro método mais eficaz ao qual contenha em seu procedimento, a data de validade de cada chave, para o efetivo acompanhamento da Coordenadoria de Segurança da Informação quando de suas substituições.

III - Todo controle efetuado deve ser baseado em padrões internacionais de criptografia;

IV - Todos os sistemas que rodem dentro do PRODAP devem utilizar criptografia RSA para todos os dados sigilosos;

V - Todas as informações referentes às senhas dos usuários, devem estar encriptadas no banco de dados.

VI - Documentos eletrônicos com rotulagem secreta, devem ser criados e alterados com controles de assinatura digital para manter sua integridade.

§ 4º Controles Criptográficos - Todas as transações críticas, confidenciais e/ou secretas entre aplicações do PRODAP e/ou GEA, devem ser criptografadas.

I - A conexão externa, de fora da rede corporativa, para dentro da rede corporativa, deve ser efetuada via VPN, com conexão criptografada.

Art. 23. Normas para Segurança Física e do Ambiente

I - Entrada e Saída de Pessoas - A movimentação de pessoal nos ambientes da Instituição deve ser registrada e monitorada, pois caso ocorra incidentes de segurança estes instrumentos poderão ser utilizados para auxiliar na investigação e resolução.

a) Uma prática comum é utilizar a recepção do ambiente como ponto de registro desta movimentação;

1. Para o monitoramento, poderá ser integrado ao papel do vigilante a utilização do sistema de vigilância com câmeras de segurança, acompanhando assim a movimentação de pessoal dentro da empresa.

b) Outro método de proteção às informações é o acompanhamento de visitantes durante o período em que estes permanecem dentro da empresa, pretendendo-se assim evitar que estes visitantes circulem em locais restritos.

II - Entrada e Saída de Equipamentos - É extremamente importante o registro da tramitação de equipamentos dentro de instituições públicas, uma vez que estes fazem parte do patrimônio do Estado.

a) Para a segurança das informações, além dessa tramitação, deverão ser registradas informações pertinentes a quem é o proprietário do patrimônio, quem é o responsável por este, e com quem está a sua custódia.

III - Proteção do Prédio, Equipamentos e Infraestrutura - A proteção da infraestrutura é bastante variável uma vez que diferentes localidades apresentam diferentes requisitos.

a) Por exemplo, ambientes que estão construídos em cidades vulneráveis a catástrofes naturais, deverão tomar cuidados especializados para aquela localidade;

b) Nos equipamentos, os fabricantes costumam disponibilizar o manual de informações pertinentes a proteção física, cabendo assim ao proprietário implementá-las;

c) Já para a proteção contra ameaças externas vindas do homem, as soluções são mais comuns, visto a diversidade de empresas especializadas neste tipo de proteção, assim a diminuição e até a mitigação da ocorrência destes tipos de incidentes são facilmente solucionadas;

d) Câmeras de monitoramento por CFTV também são utilizadas para controle de movimentação e para auxiliar na investigação e resolução de problemas envolvendo equipamentos.

Art. 24. Normas para o Gerenciamento das Operações

I - Responsabilidades e Documentação dos Procedimentos de Operação - Os procedimentos operacionais da Instituição representam a forma com que são desenvolvidas as atividades da mesma, assim objetivando manter a disponibilidade integridade e qualidade na execução das tarefas, documentar estes procedimentos é uma atividade de extrema importância para a Instituição.

a) Estes procedimentos documentados permitem que na ausência do responsável pela execução do procedimento, outro colaborador possa reproduzir a tarefa documentada mantendo assim a disponibilidade da mesma, além disso, a integridade também é garantida uma vez que ficam descritos os passos necessários para executar a atividade;

b) É notório que com a manutenção da disponibilidade e integridade do procedimento a empresa atingirá níveis de qualidade nos serviços prestados, já que independente da pessoa que execute o procedimento, o resultado será o mesmo;

c) No documento que descreve o procedimento, as responsabilidades de quem venha a executá-lo também deverão estar disponíveis, pois facilitará assim a ciência destes por parte do executor;

d) É importante implantar procedimentos para a Gestão de Mudanças e da Capacidade visando a minimizar os riscos de indisponibilidade.

Art. 25. Normas para Comunicação Segura

I - Segurança nos Serviços de Rede - Definir requisitos técnicos e procedimentos para implementação do conceito de segurança do tráfego de rede, através da segregação das redes em VLANS, separação dos ambientes computacionais, de acordo com a sua característica e finalidade: desenvolvimento, homologação, testes e produção, além da implementação de recursos de controle de acesso seguro por funcionalidade e monitoramento da rede, para viabilizar a rastreabilidade e auditorias, adotando controles e mecanismos de gerenciamento dos serviços de rede em todos os níveis.

II - Transferência de Informações - Definir as regras e procedimentos de segurança para troca de informações e softwares internamente, entre os órgãos e entidades da Administração Pública do Poder Executivo Estadual e/ou com quaisquer entidades externas.

Art. 26. Normas para Aquisição, Desenvolvimento e Manutenção do Sistema de Informação

I - Requisitos de Segurança de Sistemas da Informação - Garantir que requisitos relacionados com segurança da informação sejam incluídos entre os requisitos para novos sistemas de informação ou melhorias dos sistemas de informação existentes.

a) Incorporar atividades de segurança no desenvolvimento de sistemas para proteger informações e processos de negócio;

b) Definir documento ou framework para orientar a segurança no desenvolvimento de sistemas e para ser usado como referência no processo de desenvolvimento de sistemas;

c) Requisitos de segurança devem ser compatíveis com o nível de segurança exigido pelas regras de negócio;

d) Considerar a proteção em camadas: Segurança da interface do usuário, Segurança da aplicação, Segurança do sistema operacional e proteção de redes.

II - Processamento Correto nas Aplicações - Dispor de ambientes segregados para desenvolvimento, homologação, testes e produção de sistemas, para reduzir as oportunidades de uso e modificações indevidas, não autorizadas.

a) O acesso ao ambiente de Produção deve ser restrito para evitar comprometimento da integridade das informações.

III - Segurança no Processo de Desenvolvimento e Suporte - Utilizar Metodologia de Desenvolvimento de Sistemas formal que contemple as fases de Concepção, Elaboração, Transição, Operação e Manutenção e desativação para orientar as atividades do desenvolvimento de Sistemas de Informação em todo o seu ciclo de vida.

a) Contemplar na Metodologia de Desenvolvimento de Sistemas, desde a fase inicial, etapas que apresentem orientações e remetam para verificações e testes de segurança;

b) A metodologia utilizada para o desenvolvimento de sistemas deve conter atividades e tarefas relativas à segurança da informação no ciclo de vida desenvolvimento do sistema;

c) É recomendável existir um manual com recomendações para a construção de códigos seguros.

IV - Gestão de Vulnerabilidades Técnicas - Contemplar na Metodologia de Desenvolvimento de Sistemas atividades que identifiquem antecipadamente vulnerabilidades que possam ser eliminadas antes da implantação do sistema em produção.

V - Testes - Os requisitos de segurança devem ser testados de forma rigorosa por equipe que não esteve envolvida diretamente no desenvolvimento da aplicação.

Art. 27. Normas para o Relacionamento com Fornecedores

I - Termo de Sigilo do Fornecedor - Todos os colaboradores da empresa devem assinar o Acordo de Confidencialidade e no caso dos prestadores de serviço, o sigilo deve ser também observado em cláusulas contratuais.

II - Cláusulas de Segurança na Contratação - Os contratos devem prever os requisitos de segurança pertinentes, regras de conduta internas e externas, responsabilidades das partes durante a execução do contrato e as penalidades aplicáveis em caso de não cumprimento de cláusulas relativas à segurança da informação.

III - Cloud Computing (Computação em Nuvem) - A contratação de serviço em nuvem deve atender aos requisitos da política de segurança da Instituição e às normas e legislação brasileiras, quanto a confidencialidade e propriedade, localização dos dados armazenados, estes não podem sair do território nacional.

a) A empresa contratada deve assegurar que segue os padrões das normas nacionais e internacionais de segurança em computação na nuvem, através de certificações emitidas por estas entidades.

IV - Gerenciamento de Serviços Terceirizados - Estabelecer diretrizes para implementar e manter o nível apropriado de segurança da Informação e de entrega de serviços nos acordos firmados entre a empresa e terceiros.

a) Os contratos devem prever os requisitos de segurança pertinentes, regras de conduta internas e externas, responsabilidades das partes durante a execução do contrato, acordo de nível de serviço (SLA), e as penalidades aplicáveis em caso de não cumprimento de cláusulas relativas à segurança da informação.

Art. 28. Normas para Gestão de Mudanças

I - Um processo de gerenciamento de mudanças deve ser estabelecido e implementado a fim de garantir que modificações em recursos de Tecnologia da Informação sejam processadas, levando-se em consideração o grau de importância dos sistemas e processos de negócio envolvidos.

Art. 29. Normas para Gestão de Incidentes de Segurança da Informação

I - Um processo de gerenciamento de incidentes deve ser estabelecido e implementado.

a) Procedimentos de segurança devem ser elaborados para registro, classificação e tratamento de incidentes de segurança da informação.

Art. 30. Normas de Orientações ao Usuário Final

I - Uso Aceitável dos Ativos - Estabelecer as diretrizes e responsabilidades para o acesso aos recursos de Tecnologia da Informação disponibilizados pela empresa.

II - Mesa Limpa e Tela Limpa - Adotar procedimentos de "mesa limpa" ao final do expediente e instalação de armários com dispositivos de segurança para armazenamento de informações sensíveis.

III - Transferência de Informações - Definir regras e procedimentos para acondicionamento, envio e recebimento de documentos sensíveis em meios físicos e em meios digitais.

IV - Acesso à Internet e à Redes Sociais - Estabelecer as diretrizes de proteção relativas ao uso da Internet e de outras redes públicas de computadores, com o objetivo de reduzir o risco a que estão expostos os Ativos de Tecnologia da Informação da Instituição, tendo em vista que a Internet tem sido veículo de muitas ações prejudiciais às organizações, gerando perdas financeiras, perdas de produtividade, danos aos sistemas e à imagem da organização, entre outras consequências.

a) Estabelecer diretrizes de proteção e conduta no uso das Redes Sociais.

V - Conscientização de Segurança da Informação - Desenvolver programas de capacitação específicos, visando a ampliação da cultura organizacional, quanto à importância da segurança da informação, e seu valor estratégico para a empresa.

VI - Acesso ao Correio e a Ferramenta de Colaboração - Estabelecer regras para utilização de correio eletrônico e ferramentas de colaboração providas pela empresa.

VII - Proteção contra Códigos Maliciosos - Estabelecer regras para a proteção dos recursos de Tecnologia da Informação da empresa contra ação de códigos maliciosos e programas impróprios.

Art. 31. Normas para Gestão de Riscos

I - Análise, Avaliação e Tratamento de Riscos - Estabelecer regras para implementar um processo sistêmico de merecimento de riscos, que adote uma metodologia de gestão de riscos de segurança da informação, contemplando, análise, avaliação, tratamento, aceitação e comunicação de riscos.

II - Gestão de Continuidade de Negócios - Estabelecer regras e os princípios que regulamentam a Gestão da Continuidade do Negócio - GCN, através de um processo sistêmico para que se construa uma resiliência organizacional que seja capaz de responder efetivamente aos incidentes críticos de segurança e salvaguardar as atividades e a reputação da Instituição.

III - Monitoramento e Auditoria - Estabelecer regras para criação de um programa de auditoria do processo de Gestão de Segurança da Informação, visando a verificar o cumprimento da Política de Segurança da Informação e se controles implementados estão atendendo eficazmente a conformidade dos requisitos.

a) Deverá ser conduzida uma análise crítica dos resultados da auditoria, com o objetivo de determinar ações preventivas e corretivas para melhoria contínua do processo de Gestão de Segurança da Informação;

1. Um plano de ação deve ser elaborado com base no relatório gerado pela auditoria.

b) O resultado de auditoria de Segurança da Informação deve ser caracterizado como informação sigilosa, quando esse puder comprometer a segurança dos processos de negócio da empresa.

IV - Gestão de Indicadores de Segurança - Indicadores e métricas devem ser definidos para os processos de segurança da informação, objetivando monitorar, através de uma análise crítica, o desempenho e eficácia dos controles implementados.

a) Os indicadores deverão ser criados baseados nos objetivos estratégicos da Segurança da Informação e do negócio da Instituição;

b) A análise crítica deve ser realizada em intervalos planejados ou quando mudanças significativas ocorrerem, para assegurar a sua contínua pertinência, adequação e eficácia e demonstrem apoio e comprometimento com a Segurança da Informação.

TÍTULO III - DAS DISPOSIÇÕES FINAIS

Art. 32. Aprovação

I - A Política de Segurança da Informação deve ser aprovada pela Diretoria Executiva como forma de formalizar o compromisso da Instituição com a Segurança da Informação.

Art. 33. Referências Legais e Normativas de Conformidade

I - A gestão de segurança da informação deve atender aos requisitos legais dos órgãos regulatórios de segurança da informação do Governo Estadual e Federal, assim como, às normas ABNT de segurança de informação, aplicáveis ao negócio da organização.

a) Deve haver disponível para o conhecimento de todos uma relação de normas e leis relacionadas à Segurança da Informação.

Art. 34. Penalidade e/ou Processo Disciplinar - Nos casos em que houver violação desta política ou das demais políticas, normas e procedimentos de segurança da informação, sanções administrativas e/ou legais poderão ser adotadas, podendo culminar com o desligamento e eventuais processos administrativos, cíveis e judiciais cabíveis.

Art. 35. Esta política será válida até um ano após a sua assinatura. Antes de expirados, os riscos e ações devem ser reavaliados para a publicação de uma nova versão.

I - Não obstante, a política pode ser revisada tempestivamente, a qualquer momento que se fizer necessário e/ou conforme a finalidade ou conveniência do PRODAP.

II - Situações não previstas e sugestões devem ser encaminhadas ao e-mail csi@prodap.ap.gov.br da Coordenadoria de Segurança da Informação (CSI).

III - Dúvidas e informações adicionais poderão ser encaminhadas diretamente ao Help-Desk da Coordenadoria de Data Center.

IV - Se terceirizarmos qualquer atividade, garantiremos que as empresas contratadas obedeçam a todas as disposições deste documento.

V - A presente Política, entrará em vigor na data de sua publicação, após aprovação da Presidência do PRODAP.

Art. 36. Esta Portaria entra em vigor a contar de 27 de outubro de 2021.

Dê-se Ciência, Cumpra-se e Publique-se.

GABINETE DO PRESIDENTE DO CENTRO DE GESTÃO DA TECNOLOGIA DA INFORMAÇÃO-PRODAP, em Macapá-AP, 27 de outubro de 2021.

José Lutiano Costa da Silva

Presidente do PRODAP