Normativos:RESOLUÇÃO SEPLAG Nº 318 DE 01 DE AGOSTO DE 2024

O SECRETÁRIO DE ESTADO DE PLANEJAMENTO E GESTÃO, no uso das atribuições legais, tendo em vista o disposto no Processo nº SEI-120001/005336/2023, e

CONSIDERANDO:

- a Instrução Normativa PRODERJ/PRE N. 02, de 28 de abril de 2022, que regulamenta os procedimentos de segurança da informação em soluções de tecnologia da informação e comunicação - TIC a serem adotados pelos órgãos e entidades estaduais, - os regulamentos vigentes e as boas práticas relacionadas a segurança da informação, proteção de dados pessoais e transparência,

- a premência em normatizar os procedimentos de segurança para assegurar a confidencialidade, a integridade e a disponibilidade de informações e ativos da SEPLAG,

- a importância de promover, estimular e fortalecer a cultura de segurança da informação, para fins de preservação da imagem institucional, conformidade regulatória, mitigação de riscos, continuidade dos negócios, conscientização dos servidores e desenvolvimento de capacidades técnicas, e

- a necessidade de aperfeiçoamento contínuo dos instrumentos de governança e gestão dos recursos de tecnologia da informação e comunicação;

RESOLVE:

Art. 1º - Fica instituída a Política de Segurança da Informação em soluções de Tecnologia de Informação e Comunicação - TIC, no âmbito da Secretaria de Estado de Planejamento e Gestão - SEPLAG, com a finalidade de garantir a proteção adequada dos ativos de informação em posse do órgão.

Parágrafo Único - A Política de Segurança da Informação - PSI tem por objetivo salvaguardar os ativos de informação contra ameaças internas e externas, assegurando a confidencialidade, integridade e disponibilidade dos dados, em conformidade com as melhores práticas e regulamentações aplicáveis.

Art. 2º - O escopo da segurança da informação compreende:

I - segurança cibernética;

II - defesa cibernética;

III - segurança física

IV - proteção de dados organizacionais;

V - proteção de dados pessoais; e

VI - ações destinadas a assegurar disponibilidade, integridade, confidencialidade e autenticidade da informação.

Parágrafo Único - A proteção de dados pessoais será tratada em ato específico, a fim de assegurar os direitos dos titulares de dados, preservar a privacidade e garantir a plena conformidade da SEPLAG com a Lei Geral de Proteção de Dados Pessoais (LGPD) - Lei n.º 13.709/2018 e sua respectiva regulamentação estadual.

Art. 3º - A Política de Segurança da Informação orienta a elaboração, utilização e gestão de diretrizes, normas, procedimentos e responsabilidades adequadas para o manuseio, tratamento, controle e proteção dos ativos de informação pertinentes à SEPLAG.

Parágrafo Único - Para efeitos de aplicabilidade do disposto no caput, as demais políticas, procedimentos e instrumentos correlatos, já existentes ou que forem instituídos no âmbito da SEPLAG, devem estar compatíveis com as orientações de segurança da informação.

Art. 4º - A Política de Segurança da Informação deve ser adotada por todos os servidores e usuários dos ativos de informação da SEPLAG, independentemente do tipo de vínculo, nível hierárquico ou função estabelecida com o órgão.

Art. 5º - A segurança dos ativos de informação abrange todos os recursos físicos e digitais que capturam, coletam, armazenam, processam, controlam e transmitem informações relacionadas às operações da SEPLAG, independentemente da localização geográfica, incluindo sistemas de computador, redes de comunicação, equipamentos tecnológicos, dispositivos móveis, ambientes virtuais e documentos impressos.

Art. 6º - A Política de Segurança da Informação da SEPLAG possui as seguintes referências legais e normativas, entre outras que se fizerem necessárias:

I - Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação), com regulamentação estadual pelo Decreto n° 46.205, de 27 de dezembro de 2017;

II - Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais);

III - Decreto nº 48.891, de 10 de janeiro de 2024, que institui a Política de Governança em Privacidade e Proteção de Dados Pessoais do Estado do Rio de Janeiro;

IV - Instrução Normativa PRODERJ/PRE N. 02, de 28 de abril de 2022 (regulamento estadual dos procedimentos de segurança da informação em TIC);

V - Diretrizes estabelecidas pela família de normas NBR ISO/IEC 27000, no que for aplicável.

Art. 7º - O estabelecimento de procedimentos, normas e atos complementares ou relacionados à Política de Segurança da Informação devem observar as referências legais e normativas dispostas no art. 6°, além de outras que se fizerem necessárias a casos específicos.

Art. 8º - Para fins de uniformidade dos procedimentos contidos nesta Política de Segurança da Informação, são adotados os conceitos a seguir:

I - ameaça: qualquer atividade, processo ou evento que tem o potencial de comprometer a confidencialidade, integridade ou disponibilidade dos dados ou sistemas de informação;

II - análise de risco: processo pelo qual são relacionados os eventos, os impactos e avaliadas as probabilidades destes eventos tornarem-se reais;

III - ativo: qualquer bem, tangível ou intangível, que tenha valor para a organização;

IV - Ativos de Tecnologia da Informação e Comunicação – estações de trabalho, servidores, softwares, mídias e quaisquer equipamentos eletrônicos relacionados à tecnologia da informação e comunicação, bem como processos, pessoas e ambientes;

V - autenticidade: Autenticidade - propriedade pela qual se assegura a fidedignidade da fonte da informação mediante processos de autenticação, é possível confirmar a identidade de quem presta a informação;

VI - backup: cópia de segurança gerada para possibilitar o acesso ou recuperação futura de dados existentes;

VII - confidencialidade: propriedade pela qual se assegura que a informação não esteja disponível ou não seja revelada à pessoa, a sistema, a órgão ou à entidade não autorizados nem credenciados;

VIII - conformidade: aderência a um padrão previamente estabelecido e aceito como ideal;

IX - controle: uso de medidas preventivas e reativas para mitigar ameaças e proteger pessoas, ativos e informações contra riscos, danos ou perdas;

X - dados: fatos, informações ou estatísticas coletadas, armazenadas e processadas para análise, referência ou uso em tomada de decisões;

XI - Dados Pessoais - informações relacionadas às pessoas naturais identificadas (diretamente) ou identificáveis (indiretamente);

XII - data center: instalação especializada que abriga servidores e equipamentos de tecnologia de informação (TI) para processar, armazenar, gerenciar e distribuir dados e informações de uma organização;

XIII - defesa cibernética: ações realizadas no espaço cibernético para fins de proteção dos ativos de informação de interesse da Administração, bem como para a obtenção de dados para a produção de conhecimentos de inteligência;

XIV - desvio de segurança da informação: é um resultado não previsto ou indesejado em um procedimento. É um desvio no procedimento adequado de segurança da informação;

XV - disponibilidade: diz respeito à garantia de que a informação estará acessível às pessoas, processos automatizados, órgãos ou entidades quando for requerida. Logo, a disponibilidade está relacionada à prestação continuada de um serviço, sem interrupções no fornecimento de informações;

XVI - incidentes de segurança da informação: qualquer evento adverso, confirmado ou sob suspeita de impactar a disponibilidade, integridade, confidencialidade ou a autenticidade de um ativo de informação, assim como qualquer violação;

XVII - informação: conjunto de dados organizados e processados de forma a terem significado e relevância para um determinado contexto ou propósito;

XVIII - integridade: é fidedignidade da informação, que deve ser assegurada como garantia de que a informação não foi modificada ou destruída de maneira não autorizada, quer de forma acidental ou intencional;

XIX - não repúdio: propriedade de assegurar que, em um processo de envio e recebimento de informações, nenhum participante originador, nem destinatário de informação possa, em um momento posterior, negar a respectiva atuação;

XX - prevenção: medidas ou ações tomadas com antecedência para evitar que algo indesejado aconteça;

XXI - recursos de tecnologia da informação e comunicação: diferentes formas de união entre hardware e software no oferecimento de aplicações ou serviços que interferem ou mediam os processos informacionais e comunicativos, ou seja, são conjuntos de bens e/ou serviços que apoiam processos de negócios, mediante a conjugação de recursos, processos e técnicas utilizados para obter, processar, armazenar, disseminar e fazer uso de informações;

XXII - responsabilidade: capacidade de indivíduos, organizações ou entidades de reconhecerem e assumirem seus deveres e obrigações;

XXIII - risco: resultado objetivo da combinação entre a probabilidade de ocorrência de um determinado evento e o impacto resultante;

XXIV - segregação de funções: dividir tarefas e responsabilidades entre diferentes pessoas ou departamentos de forma que uma pessoa não tenha controle absoluto sobre um processo inteiro;

XXV - segurança cibernética: conjunto de práticas para a proteção de informação armazenada nos computadores e aparelhos de computação, transmitida através das redes de comunicação, incluindo a Internet e telefonia móvel;

XXVI - segurança da informação: proteção da informação de vários tipos de ameaças para garantir a continuidade dos processos computacionais, minimizando os riscos e maximizando a disponibilidade, integridade e confidencialidade;

XXVII - segurança física: adoção de medidas por meio de pessoas, equipamentos e procedimentos para a proteção de ativos contra danos, roubos, sabotagens e outros prejuízos causados por ações humanas não autorizadas;

XXVIII - sigilo: propriedade da informação que indica o impedimento de acesso a ela por pessoa não autorizada;

XXIX - usuário: são as pessoas que utilizam os recursos e serviços de tecnologia da informação (TI) no dia a dia, podendo ser ocupante de cargo efetivo ou em comissão, contratado por tempo determinado, prestador de serviço terceirizado, estagiários, alunos e voluntários;

XXX - violação: qualquer ação ou evento que resulta na quebra ou violação das diretrizes estabelecidas nesta política ou em quaisquer das demais normas que a complemente; e

XXXI - vulnerabilidade: uma fraqueza em um ativo, ou grupo de ativos, de informação que pode ser explorada por uma ameaça. Tais como: data center ao lado de um rio, portas destrancadas, atribuição errada de direitos de senha, falta de manutenção, etc.

Art. 9º - São princípios de segurança da informação, no âmbito da SEPLAG:

I - publicidade;

II - integridade;

III - disponibilidade;

IV - autenticidade;

V - confidencialidade;

VI - responsabilidade;

VII - não repúdio; e

VIII - prevenção.

Art. 10 - A informação relacionada às operações da SEPLAG, gerada, recebida, armazenada, compartilhada ou desenvolvida durante o exercício das competências organizacionais e atividades diárias, constitui ativo desta Secretaria, essencial ao cumprimento de suas finalidades e, em última análise, à sua existência.

Parágrafo Único - Os servidores, terceiros e fornecedores, em qualquer nível hierárquico, função ou vínculo institucional, que tenham qualquer tipo de contato e/ou acesso aos recursos de tecnologia da informação e comunicação, são responsáveis pela segurança, zelo e bom uso dos ativos aos quais têm acesso na SEPLAG.

Art. 11 - As instalações e equipamentos devem ser protegidos contra acessos não autorizados, devendo a SEPLAG implementar mecanismos de proteção que impeçam acesso indevido aos ativos tecnológicos e às áreas em que se encontram.

Art. 12 - Toda informação custodiada em ativos tecnológicos na SEPLAG ou sob gestão da SEPLAG no Data Center do Governo do Estado do Rio de Janeiro deve possuir cópia de segurança (backup) e ser guardada em local protegido, para que não seja alterada, acessada ou eliminada indevidamente.

Art. 13 - O descarte de informações e mídias, quando necessário, deve ser realizado de acordo com os procedimentos de segurança, sempre de forma a evitar o acesso indevido.

Art. 14 - Os usuários devem ser orientados a aderir às melhores práticas de segurança da informação, mantendo suas senhas em sigilo absoluto e sendo vedada a divulgação ou o compartilhamento com terceiros, a fim de preservar os ativos de tecnologia da informação.

Art. 15 - A elaboração e a implementação dos procedimentos de segurança da informação, pela SEPLAG, devem:

I - manter governança relativa à segurança da informação, definindo atividades, papéis e responsabilidades;

II - promover a cultura de segurança da informação, adotando programas de treinamentos regulares e sensibilização contínua dos servidores;

III - prever medidas tecnológicas e administrativas direcionadas à segurança da informação, em linha com a priorização proveniente de análise de riscos, podendo desconectar da rede SEPLAG aquelas unidades e localidades que não estejam em conformidade;

IV - propiciar a manutenção das medidas tecnológicas e administrativas, com a devida implementação dos controles necessários à segurança da informação;

V - adotar requisitos de segurança da informação nos processos e tecnologias desde a concepção, abrangendo o desenvolvimento e à sustentação de sistemas negociais, soluções digitais e bases de dados;

VI - prover meios para prevenir, identificar, registrar, tratar e responder a incidentes de segurança da informação;

VII - promover iniciativas de segurança aplicadas à gestão de serviços de tecnologia da informação, compreendendo gestão de configuração e ativos, gestão do catálogo de serviços e gestão de continuidade do negócio, dentre outras correlatas;

VIII - definir e implementar controles referentes à gestão de acesso aos sistemas, aplicações, soluções tecnológicas e dados;

IX - assegurar a integração com políticas, instrumentos, processos e procedimentos específicos para a classificação de informações e a proteção de dados pessoais;

X - definir normas claras e objetivas para manutenção, monitoramento, revisão e divulgação regular dos procedimentos.

Art. 16 - SEPLAG instituirá Comitê para tratar de segurança da informação, privacidade e proteção de dados pessoais, contendo representantes de diferentes setores para fins de alinhamento com a natureza, finalidade e planejamento estratégico do órgão.

Parágrafo Único - As competências, composição e funcionamento do Comitê serão regulamentados em normativo próprio.

Art. 17 - A Subsecretaria de Tecnologia da Informação e Comunicação (SUBTIC) é responsável pela gestão da Política de Segurança da Informação da SEPLAG.

§1º - A implementação, manutenção, revisão e monitoramento das medidas de segurança da informação ocorrerão em coordenação com os demais responsáveis, conforme especificado nesta Resolução.

§2º - Para efeitos de cumprimento ao disposto no caput, a SUBTIC atuará mediante suas unidades internas, em especial:

I - a Assessoria de Governança;

II - a Coordenadoria de Segurança da Informação e a Coordenadoria de Infraestrutura de TIC, ambas subordinadas à Superintendência de Gestão de Tecnologia da Informação e Comunicação.

Art. 18 - Compete à SUBTIC, no âmbito da segurança da informação:

I - desenvolver, implementar e atualizar políticas, normas e procedimentos de segurança da informação, assegurando a conformidade com as melhores práticas e regulamentações vigentes;

II - gerenciar adequadamente todos os ativos de TI, incluindo a proteção contra acessos não autorizados, perdas e danos;

III - implementar sistemas de monitoramento contínuo para detectar e responder a incidentes de segurança da informação, colaborando em seu tratamento, investigação, contenção e resolução;

IV - estabelecer e manter controles de acesso, com monitoramento e revisão periódica;

V - colaborar com o Encarregado pelo tratamento de Dados Pessoais para garantir o alinhamento entre os procedimentos de segurança da informação e as ações de conformidade com a LGPD;

VI - atuar em programas de treinamento e conscientização em segurança da informação para todos os colaboradores, promovendo uma cultura de segurança na SEPLAG.

Art. 19 - Compete aos servidores e usuários da SEPLAG, de que trata o art. 4°:

I - cumprir rigorosamente as políticas, normas e procedimentos de segurança da informação estabelecidos;

II - utilizar os ativos de TI, incluindo hardware, software e dados, de maneira responsável e segura, evitando ações que possam comprometer a integridade, confidencialidade e disponibilidade das informações;

III - relatar imediatamente quaisquer incidentes de segurança da informação, possíveis falhas ou suspeitas de vulnerabilidades ao Gestor de Segurança da Informação por meio de canal específico;

IV - participar ativamente dos programas de treinamento e conscientização em segurança da informação, aplicando as melhores práticas aprendidas no desempenho de suas atividades diárias;

V - colaborar com o Encarregado de Dados Pessoais e outros atores envolvidos na proteção de dados pessoais, garantindo a conformidade com a LGPD e outras regulamentações aplicáveis;

VI - manter a confidencialidade das informações sensíveis e protege-las contra acessos não autorizados, seguindo as diretrizes e controles de acesso estabelecidos.

Art. 20 - Nos casos em que houver violação dos procedimentos de segurança da informação, consequências e penalidades poderão ser adotadas.

§1º - Toda violação configura desvio de segurança da informação e deve ser investigada para a apuração de responsabilidades e determinação das medidas necessárias, visando à correção da falha e/ou reestruturação de processos.

§2º - Exemplos de ações que podem ocasionar penalidades e sanções:

I - uso ilegal de software;

II - propagação, intencional ou não, de ferramentas, programas e softwares maliciosos, como vírus, malware e outras ameaças cibernéticas;

III - tentativas de acesso não autorizado a dados e sistemas;

IV - compartilhamento indevido de informações ou documentos não ostensivos; e

V - não comunicação de incidentes de segurança da informação.

Art. 21 - A SEPLAG, em observância às normas da segurança da informação dispostas nesta resolução, instituirá os devidos procedimentos em ato próprio.

Parágrafo Único - O disposto no caput também se aplica a diretrizes, manuais e outros instrumentos correlatos.

Art. 22 - Ficam todas as unidades administrativas da SEPLAG incumbidas de colaborar com o pleno cumprimento das diretrizes contidas nesta política.

Art. 23 - A Política de Segurança da Informação será revista, minimamente, a cada ano e republicada sempre que se fizer necessário.

Art. 24 - Esta Resolução entrará em vigor na data de sua publicação.