PORTARIA Nº 79, DE 31 DE DEZEMBRO DE 2018
Data de publicação | 02 Janeiro 2019 |
Data | 31 Dezembro 2018 |
Páginas | 1-1 |
Órgão | Presidência da República,Casa Civil,Instituto Nacional de Tecnologia da Informação |
Seção | DO1 |
PORTARIA Nº 79, DE 31 DE DEZEMBRO DE 2018
Dispõe sobre a Política de Segurança da Informação e Comunicações do Instituto Nacional de Tecnologia da Informação.
O DIRETOR-PRESIDENTE DO INSTITUTO NACIONAL DE TECNOLOGIA DA INFORMAÇÃO, no uso da competência prevista no art. 9º do Anexo I, do Decreto nº 8.985, de 8 de fevereiro de 2017 e considerando o disposto na Instrução Normativa nº 1 do Gabinete de Segurança Institucional da Presidência da República, de 13 de junho de 2008 e a Norma Complementar nº 3 do Departamento de Segurança da Informação e Comunicações do Gabinete de Segurança Institucional, de 30 de junho de 2009, resolve:
Art. 1º Instituir a Política de Segurança da Informação e Comunicações - POSIC no âmbito do Instituto Nacional de Tecnologia da Informação - ITI.
CAPÍTULO I
ESCOPO
Art. 2º A POSIC tem por objetivo estabelecer diretrizes, responsabilidades e competências que visam assegurar a disponibilidade, integridade, confidencialidade e autenticidade dos dados e informações produzidos, processados, transmitidos, em trânsito ou armazenados sob responsabilidade do ITI.
Art. 3º Esta Política aplica-se a todos os servidores, colaboradores, estagiários e prestadores de serviço que exerçam atividades no âmbito do ITI, bem como a qualquer pessoa que venha a ter acesso aos seus ativos de informação.
Parágrafo único. Esta POSIC não se aplica aos processos de segurança da informação no âmbito da Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil, a qual é definida em estrutura normativa própria.
Art. 4º Os convênios, acordos e outros instrumentos congêneres celebrados pelo ITI devem atender a esta POSIC.
CAPÍTULO II
CONCEITOS E DEFINIÇÕES
Art. 5º Para fins desta Portaria entende-se por:
I . Acesso: ato de ingressar, transitar, conhecer ou consultar a informação, bem como a possibilidade de usar os ativos de informação da Entidade;
II. Ameaça: conjunto de fatores externos ou causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização;
III. Ativo: qualquer bem, tangível ou intangível, que tenha valor para a organização;
IV. Ativos de Informação: quaisquer dados ou informações produzidos e armazenados em meio físico ou em sistemas computacionais que tenham valor para a instituição. A existência de ativos de informação implica na responsabilidade da instituição pela sua gestão;
V. Ativos físicos: equipamentos, tais como servidores de rede e equipamentos de armazenamento de dados, responsáveis pelo processamento, armazenamento e transmissão de dados no âmbito da instituição;
VI. Autenticidade: propriedade de que a informação foi produzida, expedida, modificada ou destruída por uma determinada pessoa física, ou por um determinado sistema, órgão ou entidade;
VII. Capacitação em SIC: atividade de ensino que tem como objetivo orientar sobre o que é SIC, fazendo com que os participantes saibam aplicar os conhecimentos em sua rotina pessoal e profissional, além de servirem como multiplicadores sobre o tema, estando aptos para atuar em suas organizações como Gestores de SIC.
VIII. Comitê de Segurança da Informação e Comunicações: grupo de pessoas com a responsabilidade de assessorar a implementação das ações de segurança da informação e comunicações no âmbito desta entidade;
IX. Confidencialidade: propriedade de que a informação não esteja disponível ou revelada à pessoa física, sistema, órgão ou entidade não autorizado e credenciado;
X . Conscientização em SIC: atividade de ensino que tem como objetivo orientar sobre o que é SIC, fazendo com que os participantes saibam aplicar os conhecimentos em sua rotina pessoal e profissional, além de servirem como multiplicadores sobre o tema.
XI. Criticidade: grau de importância da informação;
XII. Disponibilidade: propriedade de que a informação esteja acessível e utilizável sob demanda por uma pessoa física ou determinado sistema, órgão ou entidade;
XIII. Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais (ETIR): grupo de pessoas com a responsabilidade de receber, analisar e responder a notificações e atividades relacionadas a incidentes de segurança em redes de computadores;
XIV. Gestão de Ativos: processo de identificação dos ativos e de definição de responsabilidades pela manutenção apropriada dos controles desses ativos;
XV . Gestão de Riscos de Segurança da Informação e Comunicações: conjunto de processos que permitem identificar e implementar as medidas de proteção necessárias para minimizar ou eliminar os riscos a que estão sujeitos os seus ativos de informação, e equilibrá-los com os custos operacionais e financeiros envolvidos;
XVI . Gestor de área: responsável pela área funcional onde a informação é criada, comunicada, manuseada, armazenada, custodiada, transportada ou descartada;
XVII . Gestor de Segurança da Informação e Comunicações: servidor responsável pelas ações de segurança da...
Para continuar a ler
PEÇA SUA AVALIAÇÃO