RESOLUÇÃO Nº 196, DE 03 DE MARÇO DE 2009
Institui a Política de Segurança da Informação do Tribunal de Contas do Distrito Federal.
O PRESIDENTE DO TRIBUNAL DE CONTAS DO DISTRITO FEDERAL, no uso da atribuição que lhe confere o art. 84, XXVI, do Regimento Interno deste Tribunal, de acordo com o decidido pelo egrégio Plenário, conforme consta do Processo nº 32360/08, e
Considerando a necessidade de se formalizar práticas de segurança da informação no âmbito deste Tribunal, resolve:
Art. 1º Aprovar a Política de Segurança da Informação do Tribunal de Contas do Distrito Federal – PSI/TCDF, na forma do Anexo a esta Resolução.
Art. 2º Esta Resolução entra em vigor na data de sua publicação.
ANEXO
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
(Anexo à Resolução nº 196, de 03 de março de 2009)
Art. 1º A Política de Segurança da Informação do Tribunal de Contas do Distrito Federal – PSI/TCDF compreende princípios, diretrizes e requisitos com a finalidade de proteger seus ativos de informação e processamento, bem como direitos de propriedade intelectual, englobando aspectos de segurança pessoal, lógica e física, devendo ser observada por todos os usuários na forma deste Anexo.
Art. 2º A PSI/TCDF tem como princípios a confidencialidade, a integridade, a autenticidade e a disponibilidade das informações.
Art. 3º Para fins desta PSI/TCDF entende-se por:
I – usuários: autoridades, servidores e estagiários do TCDF, fornecedores de produtos e serviços, seus prepostos e empregados, representantes de órgãos e entidades jurisdicionados e visitantes, que tenham acesso aos ativos de informação e processamento disponibilizados pelo Tribunal;
II – ativo de informação: patrimônio composto por todos os dados e informações gerados, manipulados ou descartados nos processos envolvendo atividades do TCDF;
III – ativo de processamento: patrimônio composto por todos os elementos de hardware e software necessários à execução de processos envolvendo atividades do TCDF, tanto produzidos internamente quanto adquiridos;
IV – hardware: componente ou conjunto de componentes físicos de um computador ou de seus periféricos;
V – software: conjunto dos componentes que não fazem parte do equipamento físico e que incluem as instruções e programas, bem como dados a eles associados, empregados na execução dos processos envolvendo atividades do TCDF;
VI – confidencialidade: garantia de que o acesso ao ativo de informação seja obtido somente por pessoas, entidades ou processos autorizados;
VII – integridade: garantia de que o ativo de informação seja disponibilizado sempre exato e completo;
VIII – autenticidade: garantia de que a origem do dado ou da informação é verdadeira e fidedigna;
IX – disponibilidade: garantia de que os usuários autorizados obtenham acesso aos ativos de informação e processamento, sempre que necessário;
X – termo de responsabilidade: acordo de confidencialidade quanto ao sigilo de informações, dando conhecimento ao usuário da correta utilização dos ativos de informação e processamento do TCDF e das responsabilidades e sanções pelo seu uso indevido;
XI – servidor de rede local: ativo de processamento dedicado ao fornecimento de serviços para a realização das atividades do TCDF.
Art. 4º O Tribunal deve estabelecer, na sua estrutura organizacional, área responsável pela gestão da segurança da informação, sem prejuízo da contratação de consultoria externa especializada.
Art. 5º Todo ativo de informação gerado, adquirido ou custodiado pelo usuário, na realização de atividades para o TCDF, é considerado de propriedade do Tribunal e deve ser protegido segundo as regras definidas nesta PSI/TCDF e demais regulamentações em vigor.
§ 1º O Tribunal deve providenciar junto ao fornecedor documentação formal relativa à cessão de direitos sobre o ativo de informação, antes de utilizá-lo.
§ 2º Nos casos de cessão de ativo de informação do Tribunal, o responsável pelo ativo, assessorado pela área jurídica do TCDF, deve, se necessário, providenciar documentação formal relativa à cessão de direitos sobre o respectivo ativo.
Art. 6º Todos os ativos de informação e processamento devem ser inventariados, periodicamente, e a eles atribuído um responsável.
§ 1º Cada ativo de informação e processamento deve ser classificado, segundo os critérios definidos pelo TCDF, quanto aos aspectos de confidencialidade, integridade e disponibilidade por seu respectivo responsável, observando sua importância para os processos do TCDF, a fim de receberem níveis de proteção adequados.
§ 2º O responsável pelo ativo de informação e processamento, ao classificá-lo, deve considerar o balanceamento entre a classificação a ser atribuída e o custo das medidas de segurança necessárias à sua proteção, podendo, para tanto, recorrer à área de informática do Tribunal para auxiliá-lo na definição.
Art. 7º Os ativos de informação e processamento disponibilizados pelo TCDF devem ser utilizados estritamente dentro do seu propósito.
Art. 7º Os ativos de informação e de processamento disponibilizados pelo TCDF devem ser utilizados estritamente dentro do seu propósito, facultado excepcionalmente, o uso para fins pessoais do acesso à internet, na forma disciplinada em ato próprio. (Artigo alterado(a) pelo(a) Resolução 302 de 31/01/2017)
Parágrafo único. Fica proibido a qualquer usuário o uso desses recursos para fins pessoais (próprios ou de terceiros) ou para promover ações que violem a legislação em vigor e as regulamentações internas ou que prejudiquem a imagem do TCDF.
Parágrafo único. Fica proibido a qualquer usuário o uso desses recursos para promover ações que violem a legislação em vigor e as regulamentações internas ou que prejudiquem a imagem do TCDF. (Parágrafo alterado(a) pelo(a) Resolução 302 de 31/01/2017)
Art. 8º Os ativos de informação e processamento devem dispor de mecanismos que minimizem os riscos inerentes a problemas de segurança, a fim de evitar ocorrências de incidentes, de forma acidental ou intencional, que afetem os princípios de autenticidade, integridade, disponibilidade e confidencialidade das informações.
Art. 9º A PSI/TCDF deve ser comunicada e disponibilizada a todos os usuários com a finalidade de divulgar as regras de utilização dos ativos de informação e processamento, bem como as responsabilidades decorrentes, de forma a se obter maior cooperação e efetividade no cumprimento do objetivo desta Política.
Parágrafo único. Os contratos firmados pelo Tribunal com terceiros devem conter cláusulas que determinem a observância ao cumprimento desta PSI/TCDF e normas dela derivadas.
Art. 10. Os incidentes que possam afetar a segurança dos ativos de informação e processamento devem ser imediatamente reportados à área responsável pela gestão da segurança da informação do TCDF.
SEGURANÇA FÍSICA E DO AMBIENTE
Art. 11. A área responsável pela gestão da segurança da informação deve avaliar, periodicamente, os riscos de acesso aos ativos de informação e processamento, bem como às instalações físicas do TCDF, de forma a se estabelecer perímetros de segurança física para prevenir, além de acesso não, dano ou perda de informações que comprometam a continuidade das atividades institucionais.
GESTÃO DE OPERAÇÕES E COMUNICAÇÕES
Art. 12. O Tribunal deve definir procedimentos e responsabilidades pela gestão e operação dos ativos de processamento.
Parágrafo único. O responsável pelo ativo de informação e processamento deve realizar projeções de demandas de uso, com o apoio, se necessário, da área de informática, com o intuito de reduzir sobrecargas que possam provocar paralisações e panes nos processos que suportam os objetivos de negócio do TCDF.
Art. 13. Os ativos de informação e processamento devem ser providos de mecanismos de cópia de segurança e recursos de reserva de forma a viabilizar a recuperação das atividades do Tribunal no menor tempo possível.
Art. 14. O uso de ativos de informação e processamento de propriedade do TCDF, fora das instalações do Tribunal, deve obedecer às regulamentações desta PSI/TCDF e normas específicas a este fim, sem prejuízo das regulamentações para uso interno.
Art. 15. Os ativos de informação em formato eletrônico devem ser armazenados nos servidores de rede local e os não eletrônicos mantidos em local que os salvaguardem adequadamente.
Art. 16. O descarte de ativos de informação do TCDF deve observar a temporalidade prevista na legislação, as regras definidas nesta PSI/TCDF e em normas dela decorrentes e o nível de classificação atribuído a estes ativos.
Art. 17. O acesso aos ativos de informação e processamento disponibilizado ao usuário deve ser somente o necessário para a realização de suas atividades no Tribunal.
Art. 18. O Tribunal deve estabelecer regras de concessão, controle e direito de acesso aos ativos de informação e processamento, levando-se em consideração a classificação da informação.
§ 1º Deve ser disponibilizada ao usuário, de forma pessoal e intransferível, identificação de acesso aos ativos de informação e processamento e atribuída responsabilidade por sua guarda e uso.
§ 2º O acesso aos ativos de informação em formato não eletrônico deve guardar, no que couber, as mesmas cautelas dispensadas aos ativos de informação em formato eletrônico.
Art. 19. Os usuários que transitam pelas instalações do Tribunal devem portar, de forma visível, identificação de acesso autorizado pelo TCDF.
GESTÃO DE INCIDENTES E SEGURANÇA DA INFORMAÇÃO
Art. 20. O TCDF deve adotar procedimentos de gerenciamento de incidentes de segurança, bem como estabelecer controles para identificação e redução de riscos, de forma a limitar as conseqüências de danos aos ativos de informação e processamento, e garantir recuperação rápida, efetiva e ordenada de suas atividades.
Art. 21. A área responsável pela gestão da segurança da informação deve elaborar, implantar, revisar e testar periodicamente plano de continuidade do negócio, visando reduzir, para um nível aceitável, a possibilidade de interrupção causada por desastres ou falhas nos ativos de informação e processamento do TCDF.
Art. 22. Respeitados os direitos e garantias individuais, bem como a legislação vigente, o uso dos ativos de informação e processamento disponibilizados pelo TCDF é passível de monitoramento e rastreamento.
Art. 23. As regulamentações e procedimentos referentes à segurança dos ativos de informação e processamento devem estar em conformidade com a legislação em vigor.
Art. 24. Esta PSI/TCDF deve ser revisada periodicamente ou na hipótese de fato superveniente que exija ação imediata.
Art. 25. A segurança dos ativos de informação e processamento deve ser analisada por meio de auditoria periódica.
Art. 26. Os casos omissos devem ser encaminhados à Comissão Gestora da Informação e Tecnologia do TCDF.
Art. 27. O descumprimento desta PSI/TCDF e demais normas correlatas sujeita o usuário às sanções penais, cíveis e administrativas cabíveis
Este texto não substitui o publicado no DODF nº 46, seção 1 de 09/03/2009 p. 10, col. 2