UNIVERSIDADE FEDERAL DE GOIÁS

DIRETORIA DE ADMINISTRAÇÃO DE PESSOAS

PORTARIA Nº 1413, DE 04 DE maio DE 2021

Institui a Política de Segurança da Informação e Comunicações (POSIC), no âmbito da Universidade Federal de Goiás.

O REITOR DA UNIVERSIDADE FEDERAL DE GOIÁS, no uso de suas atribuições legais, estatutárias e regimentais, tendo em vista o que consta do Processo SEI n° 23070.016727/2021-13, e considerando:

a) a Lei nº 12.527, de 18 de novembro de 2011, que se destina a assegurar o direito fundamental de acesso à informação;

b) o Decreto nº 9.637, de 26 de dezembro de 2018, que institui a Política Nacional de Segurança da Informação (PNSI) no âmbito da Administração Pública Federal (APF), com a finalidade de assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação a nível nacional;

c) a Portaria nº 93, de 26 de setembro de 2019, que define o Glossário de Segurança da Informação;

d) a Instrução Normativa GSI nº 2, de 5 de fevereiro de 2013, que dispõe sobre o credenciamento de segurança para o tratamento de informação classificada, em qualquer grau de sigilo, no âmbito do Poder Executivo Federal;

e) a Instrução Normativa nº 1, de 27 de maio de 2020, que dispõe sobre a Estrutura de Gestão da Segurança da Informação nos órgãos e nas entidades da APF;

f) a Norma Complementar nº 05/IN01/DSIC/GSIPR, de 14 de agosto de 2019, intitulada “Criação de equipes de tratamento e resposta a incidentes em redes computacionais - ETIR”, que tem como objetivo disciplinar a criação de Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais (ETIR) nos órgãos e entidades da APF, direta e indireta,

RESOLVE:

Art. 1º Instituir a Política de Segurança da Informação e Comunicações (POSIC) da Universidade Federal de Goiás (UFG), observadas as disposições constitucionais, legais e regimentais vigentes, assim como os princípios expressos na presente portaria.

CAPÍTULO I

DA ABRANGÊNCIA

Art. 2º A POSIC aplica-se à comunidade universitária e usuários externos que tiverem interação com os ativos de informação e comunicações da UFG e a qualquer outro que, de alguma forma, seja parte interessada das atividades vinculadas à instituição.

Parágrafo único. Aplica-se esta política a todos os contratos, convênios, acordos e demais instrumentos, de mesma natureza ou forma, celebrados por esta instituição.

CAPÍTULO II

DOS TERMOS, CONCEITOS E DEFINIÇÕES

Art. 3º Utiliza-se, para entendimento das abreviações, termos, conceitos e definições utilizados na presente norma e documentos afins, os termos definidos no Glossário de Segurança da Informação (Portaria nº 93, de 26 de setembro de 2019, do Gabinete de Segurança Institucional da Presidência da República).

CAPÍTULO III

DOS PRINCÍPIOS

Art. 4º A POSIC deve se orientar pelos princípios da autenticidade, confidencialidade, disponibilidade e integridade, consoante o disposto na Lei nº 12.527, de 18 de novembro de 2011 (LAI), pelos princípios constitucionais e legais que vinculam a Administração Pública Federal (APF), bem como pelos seguintes:

I - acesso à informação: direito do cidadão ao acesso à informação oriunda de entidades e órgãos públicos, exceto as que possuem restrição de acesso prevista em lei;

II - capacitação: aqueles que lidam com informações institucionais devem ser capacitados quanto aos fluxos, normas e princípios para o tratamento correto dos dados;

III - ciência: todos os usuários da informação devem ter ciência das normas, procedimentos, orientações e outras informações que permitam a execução de suas atribuições, sem comprometer a segurança;

IV - clareza: as regras que se fundam nesta POSIC devem ser claras, objetivas e concisas, a fim de viabilizar sua fácil compreensão;

V - criticidade: princípio de segurança que define a importância da informação para a continuidade da atividade-fim da instituição;

VI - ética: todos os direitos e interesses legítimos dos usuários da informação devem ser respeitados;

VII - manutenção: planejamento das ações para manter a segurança da informação;

VIII- não-repúdio: garantia de que o emissor da mensagem não irá negar posteriormente a autoria da mensagem ou transação, permitindo sua identificação;

IX - proporcionalidade: o nível, a complexidade e os custos das ações de Segurança da Informação e Comunicações no âmbito da UFG serão adequados ao entendimento administrativo e ao valor do ativo a proteger;

X - publicidade: transparência às informações, observados os aspectos legais;

XI - responsabilidade: as responsabilidades pela proteção de cada ativo e pelo cumprimento de processos de segurança devem ser claramente definidas.

CAPÍTULO IV

DOS OBJETIVOS E DIRETRIZES

Art. 5º A POSIC tem por objetivo o dever institucional de disponibilizar, proteger e normatizar padrões e processos de gestão da Segurança da Informação e Comunicações na instituição, propondo-se a padronizar procedimentos, integridade, responsabilidade e tratamento de dados e informações, com vistas à devida proteção das informações institucionais da UFG.

Art. 6º A POSIC busca estar em conformidade com a legislação vigente, com os valores éticos e com as melhores práticas da segurança da informação e comunicações, de modo a preservar seus ativos e imagem institucional, combatendo atos acidentais ou intencionais de destruição, modificação, apropriação indevida de dados e informações, zelando pela aplicação das referências legais e normativas do tema.

Art. 7º A POSIC visa a instituir diretrizes estratégicas, normas, padrões, processos, responsabilidades e competências que venham a garantir a disponibilidade, integridade, confiabilidade, confidencialidade e autenticidade das informações, incluindo ativos de informação, de propriedade ou sob responsabilidade da UFG.

CAPÍTULO V

DOS ÓRGÃOS DE TI E SUAS COMPETÊNCIAS

Art. 8º Para realizar ações estruturantes e sejam observadas e aplicadas a POSIC, será instituído um Comitê de Segurança da Informação - CSI, a ser nomeado pelo Reitor, com as seguintes atribuições:

I - implementar a Política Nacional de Segurança da Informação na UFG;

II - elaborar proposta de atualização da Política de Segurança da Informação e Comunicações (POSIC), a ser encaminhada ao Reitor;

III - elaborar as normas internas de segurança da informação, observadas as normas de segurança da informação editadas pelo Gabinete de Segurança Institucional da Presidência da República;

IV - propor ações de capacitação e profissionalização dos recursos humanos em temas relacionados à segurança da informação e comunicação;

V - coordenar e executar as ações de segurança da informação;

VI - consolidar e analisar os resultados dos trabalhos de auditoria sobre a gestão de segurança da informação;

VII - propor a aplicação de penalidades cabíveis nos casos de incidentes e violações da segurança da informação e comunicação;

VIII - realizar, quando necessário, a revisão do fluxo de trabalho da POSIC; e

IX - criar grupos de trabalho e câmaras técnicas para propor soluções diante de exigências suscitadas pelo CONSUNI.

§ 1º Cabe à Secretaria de Tecnologia e Informação (SETI) o apoio necessário para o acompanhamento das ações estruturantes citadas no caput deste artigo, viabilizando a sua implementação por meio da articulação e atuação dos órgãos envolvidos.

§ 2º Nos casos de urgência, o presidente do CSI poderá convocar reunião extraordinária, para deliberação.

Art. 9º O CSI deve constituir uma Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais (ETIR) nos moldes da Norma Complementar nº 05/IN01/DSIC/GSIPR, de 14 de agosto de 2019.

Art. 10. A ETIR será operacionalizada pelo órgão de TI, sendo responsável por criar estratégias, gerenciar as atividades e distribuir as tarefas para resolução dos problemas de segurança identificados.

Parágrafo único. Todo incidente de segurança, bem como suas providências, deverão ser comunicados, por meio de ferramenta de comunicação institucional, ao CSI, que, caso necessário, tomará as devidas providências.

CAPÍTULO VI

DOS USUÁRIOS DA INFORMAÇÃO

Art. 11. Compete aos usuários da informação:

I - conhecer e cumprir integralmente a POSIC, bem como suas demais normas e resoluções complementares;

II - zelar pela segurança da informação e comunicação;

III - comunicar os incidentes de segurança, por eles conhecidos, ao CSI;

IV - propor melhorias à segurança da informação e comunicação no âmbito da instituição.

Art. 12. Todos os usuários da informação são responsáveis pelo cumprimento das Normas de Segurança da Informação e Comunicações advindas desta política.

CAPÍTULO VII

DOS RECURSOS E SERVIÇOS

Art. 13. Todos os recursos de TI da UFG são disponibilizados como ferramentas de apoio às atividades administrativas, de ensino, pesquisa, extensão e inovação, e são para uso exclusivo no desenvolvimento dos trabalhos e tarefas vinculadas.

Parágrafo único. O usuário deve utilizar recursos e serviços de TI de maneira profissional, ética e legal.

Art. 14. A manutenção e armazenamento dos termos de licença de uso de software corporativos ou específicos de suas subáreas e de suas mídias cabe à área requisitante.

Art. 15. O apoio à área administrativa, em todos os equipamentos de TI e/ou programas de computador necessários ao desenvolvimento de suas atividades, cabe ao órgão de TI.

§ 1º Os programas específicos referem-se ao processo de trabalho de cada órgão institucional.

§ 2º O atendimento será facultativo ao órgão de TI nas estruturas institucionais que tiverem um ou mais técnicos de TI responsáveis, localmente, pela infraestrutura de TI própria.

§ 3º A aquisição de sistemas operacionais e programas específicos ocorrerá de acordo com a disponibilidade financeira.

§ 4º A aquisição ou desenvolvimento pela UFG de programas de computador relacionados à produção e gestão de documentos arquivísticos deve contar com a participação efetiva dos técnicos desta área do conhecimento, seja no processo de escolha, em caso de aquisição, seja no processo de desenvolvimento, no caso de soluções próprias.

Art. 16. As informações produzidas, armazenadas e controladas pelos sistemas corporativos são de propriedade da UFG, sendo proibido o seu repasse e/ou disponibilização, sem a autorização da autoridade competente, ressalvados os casos previstos em lei.

Art. 17. É responsabilidade do órgão de TI liberar o acesso aos aplicativos, sistemas, serviços e ativos de TI, bem como efetuar o monitoramento, o gerenciamento e a auditoria dos recursos de TI existentes.

Art. 18. Os computadores da UFG devem dispor de programas de segurança, composto por antivírus, firewall, entre outros, que auxiliem na identificação e/ou bloqueiem as atividades suspeitas.

Art. 19. A avaliação de qualquer suspeita ou risco à segurança dos ativos de TI da UFG, abrangendo a infecção por vírus, vazamento de informações, engenharia social nociva ou outra forma equivalente, cabe ao órgão de TI.

Art. 20. O atendimento às ocorrências relacionadas à informática, limitando-se o serviço e suporte aos equipamentos e recursos de TI pertencentes ao patrimônio da UFG ou documento que comprove vínculo institucional, cabe ao órgão de TI.

Parágrafo único. Excetuam-se as estruturas institucionais, incluindo Unidades Acadêmicas ou Coordenações de Curso, Programas de Pós-Graduação e Centros de Pesquisa que possuam pessoal habilitado para realizar tal serviço, devendo seguir os padrões estipulados pelo órgão de TI da instituição.

Art. 21. Não será permitido que sistemas desenvolvidos por terceiros e não homologados pelo órgão de TI da instituição funcionem através da rede de comunicação da instituição.

Art. 22. O monitoramento do tráfego e controle de utilização dos recursos de rede e serviços disponibilizados aos usuários cabe ao órgão de TI.

Art. 23. Todas as informações e registros de acessos (logs) contidos nos recursos de TI disponibilizados pela UFG podem ser utilizados por intermédio de solicitação de autoridades competentes formalmente instituídas na instituição.

Art. 24. Equipamentos particulares e/ou privados, como computadores ou quaisquer dispositivos que possam armazenar e/ou processar dados, não devem ser usados para armazenar e/ou processar informações que sejam classificadas como sensíveis para a atividade da UFG, sem prévia autorização expressa do custodiante dos dados.

Art. 25. Assuntos confidenciais da instituição devem ser tratados de forma restrita, consoante o que determina a legislação pertinente.

Art. 26. Os procedimentos próprios de tratamento da informação corporativa ou gestão da informação serão regulamentados por meio de Instrução Normativa (IN) para temas específicos, como: Tratamento da Informação; Tratamento de Incidentes de Rede Computacional; Tratamento de Gestão de Riscos; Gestão de Continuidade; Auditoria e Conformidade; Métodos de Autenticação; Autorização e Controles de Acesso; Segurança na Utilização dos Recursos de TI da UFG; Gestão de Ativos e outros temas que envolvem diretamente Segurança da Informação e Comunicação.

Parágrafo único. As Instruções Normativas serão elaboradas e aprovadas com a participação do Comitê de Segurança da Informação - CSI.

CAPÍTULO VIII

DAS RESPONSABILIDADES

Art. 27. Os casos de utilização dos recursos de TI da UFG em desconformidade com seus objetivos institucionais; de violação das normas, procedimentos ou atividades pertinentes à Segurança da Informação; bem como da legislação pertinente a copyright e/ou direitos autorais e/ou acessos a conteúdos ilícitos serão enviados à autoridade competente para fins de apuração, consoante legislação aplicável.

CAPÍTULO IX

DAS DISPOSIÇÕES FINAIS E TRANSITÓRIAS

Art. 28. Esta política deve ser revisada e atualizada anualmente, a contar da sua publicação, ou quando identificada a necessidade pelo CSI, seja por mudança de tecnologia, diretrizes ou normas complementares.

Art. 29. Para fins de conhecimento da POSIC, será dada ampla publicidade à comunidade universitária, observada a legislação pertinente.

Art. 30. As áreas de negócio ou finalísticas deverão submeter suas propostas de complementação dessa política ou de normas complementares ao CSI para análise, discussão e aprovação.

Art. 31. Os casos omissos serão resolvidos pelo Reitor, uma vez ouvido o Comitê de Segurança da Informação - CSI.

Art. 32. Esta portaria entra em vigor nesta data, com efeitos após sua publicação em Boletim de Serviço Eletrônico, ficando, portanto, revogada a Portaria nº 1133, de 8 de abril de 2021.

Prof. Edward Madureira Brasil

Documento assinado eletronicamente por Edward Madureira Brasil, Reitor, em 04/05/2021, às 22:43, conforme horário oficial de Brasília, com fundamento no art. 6º, § 1º, do Decreto nº 8.539, de 8 de outubro de 2015.

A autenticidade deste documento pode ser conferida no site https://sei.ufg.br/sei/controlador_externo.php?acao=documento_conferir&id_orgao_acesso_externo=0, informando o código verificador 2044696 e o código CRC F1E6F6C4.