SINJ-DF

Legislação correlata - Portaria 2 de 03/01/2020

Legislação Correlata - Instrução Normativa 29 de 11/08/2020

Legislação Correlata - Portaria 39 de 09/11/2021

DECRETO Nº 25.750, DE 12 DE ABRIL DE 2005.

Regulamenta a Lei nº 2.572, de 20 de julho de 2000, que “Dispõe sobre a prevenção das entidades públicas do Distrito Federal com relação aos procedimentos praticados na área de informática”.

O PRESIDENTE DA CÂMARA LEGISLATIVA DO DISTRITO FEDERAL, NO EXERCÍCIO DO CARGO DE GOVERNADOR DO DISTRITO FEDERAL, por força do artigo 93 e no uso das atribuições que lhe confere o artigo 100, incisos VII e XXVI, da Lei Orgânica do Distrito Federal,

DECRETA:

CAPÍTULO I

DOS OBJETIVOS

Art. 1º Fica regulamentada a Lei nº 2.572, de 20 de julho de 2000, que “Dispõe sobre a prevenção das entidades públicas do Distrito Federal com relação aos procedimentos praticados na área de informática”.

Parágrafo único – Para fins de aplicação deste Decreto, compreende-se por entidades públicas os órgãos da administração direta, indireta, fundacional, autárquica e empresas estatais do Distrito Federal.

CAPÍTULO II

DOS PRINCÍPIOS QUE REGULAM AS CONDIÇÕES DE SEGURANÇA DA TECNOLOGIA DA INFORMAÇÃO E DE INFORMAÇÃO COMO FONTE DE DADO

Art. 2° As entidades públicas do Distrito Federal devem promover a segurança da informação, mediante a garantia da disponibilidade, integridade, confiabilidade e legalidade das informações que suportam os seus processos críticos e operacionais.

Art. 3º Os recursos e instalações de processamento de informações críticas ou sensíveis dos negócios devem ser mantidos em áreas seguras, protegidas por um perímetro de segurança definido, com barreiras de segurança apropriadas e controle de acesso.

Art. 4° A garantia da disponibilidade deve ser de forma preventiva e abranger os aspectos físicos, lógicos e humanos.

CAPÍTULO III

DOS PRINCÍPIOS DA PROTEÇÃO PREVENTIVA DA INFORMAÇÃO

SEÇÃO I

DA SEGURANÇA FÍSICA

Art. 5° A proteção física dos equipamentos, servidores de rede, telecomunicação, cópias de segurança (backups) e outros deve ser garantida mediante o acondicionamento em ambientes ou compartimentos seguros e controle de acesso adequados de acordo com as normas vigentes da Associação Brasileira de Normas Técnicas – ABNT e demais normas internacionais e comprovadamente testados e certificados

Art. 6° A proteção física do ambiente de tecnologia da informação deve prevenir acesso não autorizado, dano e interferência à informações e instalações físicas da organização.

Art. 7° A proteção dos equipamentos em ambiente seguro, deve prevenir perda, dano ou comprometimento dos ativos, e a interrupção das atividades do negócio.

§ 1° - A proteção dos equipamentos, em ambiente seguro, deverá contemplar medidas de segurança contra: roubo, fogo, explosivos, fumaça, água (ou falha do abastecimento), poeira, vibração, efeitos químicos, interferência no fornecimento elétrico e radiação eletromagnética, umidade e fungos, roedores e insetos, intempéries (raio, vendaval, granito, etc.), impacto de veículos ou aeronaves, curto-circuito e outros danos elétricos, atos por pessoas (vandalismo, sabotagem, etc.) e interrupção do fornecimento de climatização.

§ 2° - Além dos riscos mencionados no parágrafo 1º, o ambiente seguro deverá manter os requisitos mínimos de temperatura sugeridos em normas vigentes de: 17ºC a 23ºC com variação de no máximo 2ºC por hora e umidade relativa do ar de 45% a 55% com no máximo 5% de variação de umidade do ar, por hora, sendo aceito, como limites emergenciais, temperatura de até 75ºC e umidade relativa do ar de 85%.

SEÇÃO II

DA SEGURANÇA LÓGICA

Art. 8° A proteção lógica dos sistemas deve ser garantida mediante a definição dos papéis dos usuários e das regras de acesso à informação, respeitados os critérios de garantia dos direitos individuais e coletivos de privacidade e segurança de pessoas físicas e jurídicas.

Art. 9º Os ambientes de processamento de informações devem adotar precauções para prevenir e detectar a introdução de softwares maliciosos (vírus de computadores, cavalos de tróia, etc.).

Art. 10. Devem ser adotados procedimentos para gerenciamento de controle de acesso de usuários aos sistemas de informação, como utilização de mecanismos de autenticação e senhas e gerenciamento de privilégios de acesso.

SEÇÃO III

DA PROTEÇÃO DE DADOS E PROGRAMAS

Art. 11. Os padrões e soluções de segurança de dados de programas devem garantir a sua proteção quanto à disposição dos usuários, enquanto instalados nos servidores de arquivos, ou nas estações de nível de descrição no registro dos eventos e na preservação contra vírus de computadores.

§ 1° A proteção de dados e programas instalados no servidor de arquivos deve garantir padrões de segurança contra leitura, execução, gravação, recepção e criação por parte de pessoas não autorizadas.

§ 2° Qualquer pessoa, física ou jurídica, tem o direito de interpelar o proprietário de redes de computadores ou provedor de serviços para saber informações ao seu respeito e o respectivo teor.

Art. 12. O acesso de terceiros, não autorizados pelos respectivos interessados, a informações privadas mantidas em rede de computadores dependerá de prévia autorização judicial.

CAPÍTULO IV

DOS ASPECTOS DE RECUPERAÇÃO DA INFORMAÇÃO

Art. 13. O gerenciador e administrador de ambientes informatizados deve providenciar análise de risco físico e lógico, abrangendo padrões definidos para acondicionamento de equipamentos de processamento de dados e mídias magnéticas, e identificando possíveis prejuízos.

Art. 14. Devem ser estabelecidos procedimentos de rotina para a execução das cópias de segurança (backups) e para a disponibilização dos recursos de reserva, de forma a viabilizar a restauração em tempo hábil, controlando e registrando eventos e falhas.

Art. 15. As cópias de segurança (backups) deverão receber a mesma proteção prevista nos artigos 5º, 6º e 7º deste Decreto.

Art. 16. O administrador dos ambientes de tecnologia da informação deverá desenvolver plano de contingência.Parágrafo único. Os planos de contingência devem conter as alternativas para os processos e as fases de pré-interrupção, interrupção e pós-interrupção.

CAPÍTULO V

DOS PRESTADORES DE SERVIÇOS

Art. 17. É obrigatório o estabelecimento de procedimentos para manter a segurança dos recursos de processamento de informação e ativos de informações organizacionais acessados por prestadores de serviços.

Art. 18. Os procedimentos e controles devem ser acordados e definidos por meio de contratos firmados com os prestadores de serviços.

Art. 19. Os prestadores de serviços que manuseiem (produzam ou armazenem) informações críticas ou sensíveis fora do ambiente das entidades públicas do Distrito Federal deverão manter esses recursos acondicionados em ambientes ou compartimentos seguros e com controles de acesso adequados de acordo com normas técnicas vigentes.

CAPÍTULO VI

DOS COMPORTAMENTOS IRREGULARES

Art. 20. São considerados incompatíveis com o disposto neste Decreto os comportamentos:

I – que causem prejuízo à entidade pública;

II – que tenham o intuito de lucro ou vantagem de qualquer espécie, próprio ou de terceiros;

III – que comprovem abuso de confiança;

IV – que provoquem erros ou prejuízos por motivo fútil;

V – que comprovem o uso indevido de senha ou processo de identificação de terceiros;

VI – que comprovem a utilização de qualquer outro meio fraudulento.

Art. 21. Os comportamentos que suscitarem irregularidades deverão ser apurados na forma prevista na Lei nº 8.112, de 11 de dezembro de 1990 e em outras normas vigentes, bem como punido o agente que:

I – negligenciar ou omitir informações no tratamento, guarda e manuseio dos sistemas e redes de computadores e dados;

II - apagar, destruir, modificar ou de qualquer forma inutilizar, total ou parcialmente, dados ou programas de computador, de forma indevida ou não autorizada;

III – obter acesso, manter ou fornecer a terceiro, dados, instrução ou qualquer meio de identificação ou acesso a computador ou a rede de computadores, de forma indevida ou não autorizada;

IV – apagar, destruir, alterar ou de qualquer forma inutilizar senha ou qualquer outro mecanismo de acesso a computador, programa de computador ou dados, de forma indevida ou não autorizada;

V – obter segredos das entidades de que trata esta Lei, da indústria ou do comércio, ou informações pessoais armazenadas em computador, rede de computadores, meio eletrônico de natureza magnética, óptica ou similar, de forma indevida ou não autorizada;

VI – criar, desenvolver ou inserir dados ou programa em computador ou rede de computadores, de forma indevida ou não autorizada, com a finalidade de apagar, destruir, inutilizar ou modificar dados ou programa de computador, ou de qualquer forma dificultar ou impossibilitar, total ou parcialmente, a utilização de computador ou rede de computadores;

VII – disseminar serviço ou informação de caráter pornográfico em rede de computadores, sem exibir previamente, de forma facilmente visível e destacada, aviso sobre a sua natureza, indicando o seu conteúdo.

CAPÍTULO VII

DISPOSIÇÕES FINAIS

Art. 22. As normas de regulamentação complementares serão baixadas por meio de ato próprio do Secretário de Estado para o Desenvolvimento da Ciência e tecnologia do Distrito Federal.

Art. 23. As alterações ou atos complementares ao presente Decreto ou outras medidas que tenham como fundamento a Lei nº 2.572, de 20 de julho de 2000, deverão ter como fulcro o disposto nas normas estabelecidas pela Associação Brasileira de Normas Técnicas – ABNT, especialmente a NBR 11515/1990, NBR ISO/IEC 17799/2001 e NBR 15247/2004.

Art. 24. Este Decreto entra em vigor na data de sua publicação.

Art. 25. Revogam-se as disposições em contrário.

Brasília, 12 de abril de 2005.

117º da República e 45º de Brasília

FÁBIO BARCELLOS

Este texto não substitui o publicado no DODF nº 69 de 13/04/2005 p. 6, col. 1