SERVIÇO PÚBLICO FEDERAL
CONSELHO FEDERAL DE ENGENHARIA E AGRONOMIA - Confea
Portaria N° 193/2023
|
|
Institui a Política de Segurança da Informação no âmbito do Confea. |
O PRESIDENTE DO CONSELHO FEDERAL DE ENGENHARIA E AGRONOMIA - CONFEA, no uso das atribuições que lhe são conferidas pelo Regimento instituído e aprovado pela Resolução nº 1.015, de 30 de junho de 2006;
Considerando a Política de Segurança da Informação aprovada pela Decisão CD-092/2016;
Considerando a Portaria nº 266, de 4 de julho de 2022 (0621792), que trata da Estrutura Organizacional do Confea;
Considerando a Lei nº 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais (LGPD), que regulamenta o tratamento de dados pessoais, em âmbito público ou privado, na internet ou fora dela, com o objetivo de proteger a liberdade e a privacidade dos titulares; e
Considerando o Decreto nº 9.637, de 26 de dezembro de 2018, que institui a Política Nacional de Segurança da Informação, dispõe sobre a governança da segurança da informação, e altera o Decreto nº 2.295, de 4 de agosto de 1997, que regulamenta o disposto no art. 24, caput, inciso IX, da Lei nº 8.666, de 21 de junho de 1993, e dispõe sobre a dispensa de licitação nos casos que possam comprometer a segurança nacional.
RESOLVE:
Instituir a Política de Segurança da Informação - PSI, no âmbito do Confea.
A PSI é aplicada a todos os sistemas de informação, serviços de rede de dados, internet, telecomunicações, estações de trabalho, correio eletrônico e demais recursos computacionais do Confea.
Parágrafo único. Os ambientes, sistemas, computadores e redes do Confea poderão ser monitorados e gravados, conforme previsto na legislação vigente.
A PSI deve ser cumprida obrigatoriamente por todos aqueles que executem acesso aos recursos físicos ou lógicos do Conselho, aqui denominados usuários, sejam eles: agentes públicos, empregados, colaboradores, visitantes, consultores externos, estagiários, menores aprendizes, prestadores de serviço, independentemente do nível hierárquico ou da função exercida no Conselho.
§1º Os usuários, no ato de posse, contratação ou aceite de Termos de Uso, deverão assinar documentos que declarem o cumprimento das normas e a ciência de utilização, responsabilização, confidencialidade e segurança dos ativos de informação, bem como comprometer-se a manter sigilo e confidencialidade, mesmo quando forem desligados, sobre todos os ativos de informações do Confea.
§2º Cabe ao Subcomitê Gestor de Segurança da Informação do Confea providenciar orientações e atualizar periodicamente os usuários sobre os procedimentos de segurança, bem como sobre o uso correto dos ativos a fim de reduzir possíveis riscos.
A Política de Segurança da Informação do Conselho Federal de Engenharia e Agronomia objetiva:
I - estabelecer diretrizes e princípios gerais para implementar, manter e melhorar a gestão de segurança da informação no Confea, visando preservar a integridade e, a confidencialidade e a disponibilidade dos ativos de informação em qualquer meio ou suporte;
II - garantir que os recursos de informática e a informação sejam utilizados de maneira adequada e responsável;
III - assegurar o direito do Confea sobre dados e informações pertinentes à sua função e estrutura organizacional, bem como seu sigilo;
IV - assegurar a garantia ao direito individual e coletivo das pessoas, à inviolabilidade da sua intimidade e ao sigilo da correspondência e das comunicações, nos termos previstos na legislação vigente;
V - nortear a implementação de controles e processos para o seu atendimento;
VI - Proteção de assuntos que mereçam tratamento especial; e
VII - promover o uso soberano de mecanismos de segurança da informação, com o domínio na aplicação de tecnologias.
A PSI será divulgada na intranet e deve ser comunicada a todos na fase de contratação ou posse, bem como deverá integrar contratos de prestação de serviços e termos de uso.
A PSI utiliza-se do Glossário de Segurança da Informação, aprovado pelo Gabinete de Segurança Institucional da Presidência da República por meio da Portaria GSI/PR nº 93, de 26 de setembro de 2019, apresentado como Anexo deste documento.
CAPÍTULO I
DOS PRINCÍPIOS
A Política de Segurança da Informação do Confea observa os seguintes princípios:
I - agregar valor e proteger o ambiente interno do Confea;
II - garantir a disponibilidade, integridade, confidencialidade e autenticidade das informações;
III - garantir a transparência das informações de acesso público e a proteção adequada daquelas com restrição de acesso;
IV - ser parte integrante dos processos organizacionais;
V - ser dinâmica e capaz de reagir a mudanças;
VI - estar integrada às oportunidades e à inovação;
VII - ser adaptável à realidade orçamentária em vigor;
VIII - prezar pelas conformidades legal e normativa dos procedimentos relacionados à segurança da informação e das comunicações;
IX - orientar a tomada de decisões institucionais que visem à efetividade das ações de segurança da informação e das comunicações; e
X - estar integrada aos processos de planejamento estratégico, tático e operacional, à gestão e à cultura organizacional do Confea.
CAPÍTULO II
DAS RESPONSABILIDADES E OBRIGAÇÕES
Seção I
Do Confea
Para garantir as regras mencionadas nesta Política de Segurança da Informação, monitorar e auditar seu ambiente, o Confea deverá:
I - utilizar sistemas de monitoramento nas estações de trabalho, notebooks corporativos, tablets corporativos, equipamentos de servidores, correio eletrônico, conexões com a internet, dispositivos móveis como pendrives e HDs externos ou wireless, e outros componentes da rede. As informações geradas por tais sistemas poderão ser utilizadas para identificar usuários e respectivos acessos efetuados, o material manipulado e gerar estatísticas do uso dos recursos de tecnologia;
II - tornar públicas quaisquer informações obtidas pelos sistemas de monitoramento e auditoria, nas hipóteses de exigência judicial, solicitação de gerentes (ou superiores hierárquicos) ou por determinação da unidade organizacional responsável pela gestão dos recursos humanos no Confea;
III - realizar, a qualquer tempo, inspeções físicas nos equipamentos do Confea;
IV - instalar sistemas de proteção, preventivos e detectáveis, para garantir a segurança das informações e dos perímetros de acesso;
V - avaliar a utilização de equipamentos particulares para acesso ao ambiente interno do Confea; e
VI - estabelecer regramento e procedimento para concessão de atribuições, permissões e acessos a sistemas, a pastas compartilhadas, a ambientes, referentes a primeiros acessos, substituições por férias, delegações, mudança de unidade, bem como suas respectivas exclusões.
Seção II
Da unidade organizacional responsável pela tecnologia da informação
A unidade organizacional responsável pela tecnologia da informação no Confea possui os seguintes deveres específicos:
I - zelar pela segurança da informação no âmbito do Confea quando estas informações estiverem sob custódia dos recursos de tecnologia da informação;
II - testar a eficácia dos controles utilizados e informar os gestores sobre riscos residuais eventualmente existentes;
III - implementar e testar, no mínimo anualmente, plano de contingência e continuidade dos principais sistemas e serviços, para reduzir riscos de perda de confidencialidade, integridade e disponibilidade dos ativos de informação;
IV - registrar todo o uso dos sistemas e serviços, ou seja, manter o log de utilização visando garantir auditabilidade das informações utilizadas;
V - acessar, enquanto administradora e operadora dos sistemas computacionais, arquivos e dados de outros usuários apenas quando necessário à execução de atividades operacionais sob sua responsabilidade, tais como manutenção de computadores, realização de cópias de segurança, auditoria e testes nos ambientes;
VI - administrar, proteger e testar cópias de segurança dos programas e dados relacionados aos processos do Confea consoante política de backup definida;
VII - atribuir cada conta ou dispositivo de acesso (a computadores, sistemas, bases de dados e qualquer outro ativo de informação) a determinado responsável identificável como pessoa física, sendo que:
a) os usuários (logins) individuais de empregados são de responsabilidade do próprio colaborador;
b) os usuários (logins) de prestadores de serviço são de responsabilidade do gestor da unidade contratante com apoio da unidade organizacional responsável pela tecnologia da informação;
VIII - proteger continuamente todos os ativos de informação do Conselho contra códigos maliciosos, e garantir que todos os novos ativos só entrem para o ambiente de produção após estarem livres de códigos maliciosos e/ou indesejados;
IX - diligenciar para que não sejam introduzidas vulnerabilidades ou fragilidades no ambiente de produção do Conselho;
X - definir e revisar regras formais para instalação de software e hardware em ambiente de produção corporativo, exigindo o seu cumprimento dentro do Confea;
XI - garantir, da forma mais rápida possível, o bloqueio do acesso de usuário, após estabelecido e formalizado entre as unidades responsáveis, em virtude de solicitação, da rescisão de contrato ou de encerramento do mandato eletivo;
a) tal bloqueio também abarca as hipóteses de incidente, investigação ou fato outro relativo a usuário que exija medida restritiva para fins de salvaguarda dos ativos do Confea, e decorrerá de requisição do gestor imediato do usuário que se enquadre em uma das supracitadas hipóteses.
XII - monitorar o ambiente de TI, gerando indicadores e históricos de:
a) uso da capacidade instalada da rede e dos equipamentos;
b) incidentes de segurança (vírus, trojans, furtos, acessos indevidos);
c) atividade de todos os usuários durante os acessos às redes externas, inclusive internet (por exemplo: sites visitados, e-mails recebidos/enviados, upload/download de arquivos, entre outros).
De forma a cumprir com o zelo da segurança da informação no âmbito do Confea, a unidade organizacional responsável pela tecnologia da informação deverá estabelecer um Comitê de Segurança da Informação, ou similar, com atribuições e estrutura a serem definidas conforme for mais adequado pela unidade.
Seção III
Dos gestores
Os gestores do Confea possuem como deveres específicos principalmente relativamente aos usuários sob a sua gestão:
I - enfatizar junto à suas equipes o cumprimento desta Política; e
II - manter acessos, permissões, atribuições de sistemas informatizados ou rede compartilhada, atualizados conforme a necessidade das atividades da sua unidade organizacional.
Seção IV
Dos usuários
Todos os usuários dos serviços de rede de dados, internet, telecomunicações, estações de trabalho, correio eletrônico e demais recursos computacionais do Confea, possuem como responsabilidade:
I - promover a segurança dos respectivos dados e credenciais de acesso, assumindo responsabilidades como custodiante de informações;
II - seguir as orientações fornecidas pelas unidades organizacionais competentes em relação ao manuseio de documentos não-digitais e uso dos recursos computacionais e informacionais do Conselho;
III - utilizar, de forma ética, legal e consciente, os recursos computacionais e informacionais do Confea;
IV - zelar pela conservação dos componentes internos dos equipamentos de TIC, evitando qualquer forma de utilização que possa comprometer sua integridade evitando exposição ao calor excessivo, acúmulo de pó, fumaça e cinzas, líquidos em geral e a impactos de qualquer natureza (quedas, pancadas, empilhamento);
V - observar exigências e requisitos para manipular informações, haja vista o tipo de conteúdo considerado, definidas pelo proprietário ou responsável pela informação, seguindo orientações disponíveis nesta Política em conjunto com a Política de Classificação da Informação do Confea e com a legislação vigente;
VI - manter-se atualizado quanto à PSI e aos procedimentos e normas a ela relacionados, buscando orientações da unidade organizacional responsável pela tecnologia da informação, quando necessário; e
VII - adaptar ou, quando não for competente, requerer a adaptação de normas, procedimentos e sistemas para atender à PSI.
CAPÍTULO III
DOS INCIDENTES E PROIBIÇÕES
Todo incidente que afete a integridade ou segurança da informação deverá ser comunicado inicial e imediatamente ao respectivo gestor e à unidade organizacional responsável pela tecnologia da informação.
Parágrafo Único. É responsabilidade dos usuários informar, também e quando couber, à unidade organizacional responsável pela gestão de bens patrimoniados sobre o ocorrido para os efeitos necessários à gestão do patrimônio.
É vedado o uso de computadores, equipamentos eletrônicos e demais recursos tecnológicos do Confea para:
I - tentar ou obter acesso não autorizado a outro computador, servidor ou rede, para, inclusive, acessar informações sem explícita autorização do proprietário;
II - burlar ou tentar burlar quaisquer sistemas de segurança;
III - vigiar secretamente outrem, por dispositivos eletrônicos ou softwares, como, por exemplo, analisadores de pacotes (sniffers);
IV - interromper serviços, servidores ou rede de computadores por meio de qualquer método ilícito ou não autorizado;
V- praticar ou ser cúmplice de atos de violência moral, assédio sexual, perturbação, manipulação ou violação de direitos autorais ou de propriedades intelectuais sem a devida anuência do titular;
VI - acessar, distribuir ou armazenar material pornográfico, racista ou qualquer outro com conteúdo discriminatório referente a religião, orientação sexual e procedência nacional em clara desrespeito ao ordenamento jurídico pátrio;
VII - violar ou tentar violar a ordem pública; e
VIII - instalar ou utilizar software pirata ou softwares não homologados/autorizados.
CAPÍTULO IV
DA SEGURANÇA FÍSICA, LÓGICA E DO AMBIENTE
A segurança física e patrimonial, disposta em normativo específico do Confea, tem por objetivo, em relação à segurança da informação, prevenir danos e interferências nas instalações do Confea que possam causar perda, roubo ou comprometimento das informações.
Será assegurada a salvaguarda das instalações e dos demais ativos de informação em que são elaborados, tratados, custodiados, manuseados ou guardados dados e informações críticas ou sensíveis, independentemente do meio em que estão armazenados.
Considera-se necessário definir perímetros de segurança para proteger áreas que contenham informações e ativos do acesso físico não autorizado, evitando danos e interferências nas informações da organização.
As seguintes diretrizes devem ser consideradas:
I - restringir o acesso aos locais e edifícios apenas ao pessoal autorizado;
II - monitorar todos os acessos e informações de autenticação;
III - requerer que o pessoal e as partes interessadas utilizem algum tipo visível de identificação;
IV - conceder acesso restrito ao pessoal externo;
V - autenticar a identidade dos visitantes por meio apropriados, registrando a data e a hora da entrada e saída; e
VI - manter regras de mesa limpa para documentos impressos e regras de tela limpa para os recursos de tratamento das informações.
A Gerência de Infraestrutura do Confea é a unidade responsável pela segurança física e do ambiente.
A sistematização do controle de acesso à informação tem por objetivo garantir que o acesso à informação e aos ativos que a armazenam seja franqueado exclusivamente a pessoas autorizadas, com base nos requisitos de negócio e de segurança da informação.
Parágrafo único. O acesso aos computadores, à rede corporativa e aos serviços oferecidos depende de prévia autenticação, bem como o acesso a qualquer informação veiculada eletronicamente é passível de monitoramento com vistas a garantir a rastreabilidade e a auditoria das ações realizadas.
Complementarmente, a norma ABNT ISO/IEC 27002:2022, ou posterior, deverá ser seguida naquilo que for aplicável ao Confea.
CAPÍTULO V
DA PRIVACIDADE DA INFORMAÇÃO
Considera-se necessária a proteção da privacidade das informações pertencentes aos respectivos titulares e que são manipuladas ou armazenadas nos meios sobre os quais o Confea detém controle administrativo.
O Confea adotará os procedimentos adequados de segurança da informação afim de garantir a privacidade de dados manipulados e armazenados nos recursos computacionais do Confea.
Aplica-se a esta política o disposto na Política de Privacidade da Informação do Confea.
CAPÍTULO VI
ATIVOS DE INFORMAÇÃO
Seção I
Dos dispositivos eletrônicos
Os equipamentos eletrônicos disponibilizados aos usuários são de propriedade do Confea, salvo os de caráter de locação.
Parágrafo único. Os usuários devem utilizar e manusear corretamente os equipamentos mencionados no caput em atividades de interesse da autarquia, ou seja, para a realização de atividades em nome ou para o Confea.
Os scanners e impressoras estão localizados nos ambientes comuns do Confea e nas unidades organizacionais, podendo ser utilizados por qualquer dos usuários habilitados no exercício de suas atividades profissionais dentro do Confea.
Parágrafo Único. A disponibilização destes equipamentos deverá ser solicitada à unidade organizacional responsável pela tecnologia da informação.
É proibido todo e qualquer procedimento de manutenção física ou lógica, instalação, desinstalação, configuração ou modificação de equipamentos eletrônicos de propriedade do Confea, assim como os com caráter de locação, sem prévio conhecimento e acompanhamento de técnico(s) da unidade organizacional responsável pela tecnologia da informação, ou de quem esta determinar.
Os usuários deverão manter a configuração do equipamento disponibilizado pela unidade organizacional responsável pela tecnologia da informação, seguindo os devidos controles de segurança exigidos por esta PSI e por normas específicas do Conselho.
Os usuários serão responsáveis por quaisquer danos causados pela má utilização dos equipamentos de TIC e/ou pela não observância dessas diretrizes, estando sujeitos à aplicação de sanções administrativas sem prejuízo da respectiva indenização ao erário pelos danos causados ao patrimônio do Confea.
O Confea pode disponibilizar equipamentos a terceiros, caso haja necessidade, por meio de empréstimo, desde que as solicitações sejam formalizadas ao Gestor do Patrimônio com indicação de pessoa responsável pela guarda do equipamento.
A disponibilização de equipamentos para uso individual, tais como notebooks e desktops, será realizada pela unidade organizacional responsável pelo patrimônio, com o apoio da unidade organizacional responsável pela tecnologia da informação, por meio da figura do Gestor do Patrimônio e conforme rotina específica.
§1° Para convidados, os notebooks serão disponibilizados com senhas de usuários locais, sem acesso a perfis administrativos.
§2° Os usuários do Confea terão seus acessos conforme os seus perfis da rede corporativa, tendo o acesso disponibilizado através de sua credencial individual (login) e senha.
§3° Em casos de legítima necessidade da utilização de senha de administrador local ou administrador de redes em equipamentos de TIC, o fato deve ser solicitado formalmente pelo gestor do usuário à unidade organizacional responsável pela tecnologia da informação para que a mesma estabeleça a melhor forma de acompanhamento e os procedimentos de segurança necessários à atividade.
a) Visando a formalização adequada, o controle das solicitações e o pleno conhecimento da responsabilização, esta deverá ser registrada via sistema de solicitações e/ou processo.
Todas as atualizações e correções de segurança - sejam dos sistemas operacionais, sejam dos aplicativos - somente poderão ser realizadas após validadas pela unidade organizacional responsável pela tecnologia da informação e, uma vez que disponibilizadas pelo fabricante ou fornecedor.
Os sistemas e equipamentos eletrônicos de propriedade do Confea devem contar com antivírus instalado, ativado e permanentemente atualizado (versões de software mais recentes).
Parágrafo único. O usuário, em caso de suspeita de vírus ou problemas de funcionalidade, deverá contatar a unidade organizacional responsável via sistema de solicitações do Confea.
Arquivos imprescindíveis para as atividades dos usuários deverão ser salvos em drives de rede do Conselho, como o servidor de arquivos e o OneDrive, quando para arquivos em transferência e públicos, ou nas pastas específicas de cada unidade organizacional, com o devido acesso autorizado e restrito aos envolvidos.
Parágrafo único. Os arquivos mencionados no caput, se gravados apenas localmente nos dispositivos eletrônicos (por exemplo, no drive C: de computadores), não terão garantia de backup e poderão ser perdidos caso ocorram falhas no equipamento, pois não é responsabilidade da unidade organizacional responsável pela tecnologia da informação realizar backup de documentos particulares, e até mesmo corporativos, que estiverem armazenados localmente.
Os usuários devem informar a unidade organizacional responsável quanto a existência de eventual dispositivo desconhecido e suspeito conectado a equipamento eletrônico de propriedade do Confea ou a equipamento locado.
Todos os modems/switches/hubs, internos ou externos, não fornecidos pela unidade organizacional responsável pela tecnologia da informação, ou por serviços contratados por ela, serão removidos ou desativados para impedir a invasão/evasão de informações e programas.
Parágrafo único. Em casos especiais, conforme regra específica, será considerada a possibilidade de uso dos equipamentos mediante a autorização do gestor do usuário e após parecer da unidade organizacional responsável pela tecnologia da informação.
É expressamente vedado o consumo de alimentos, bebidas e/ou fumo na mesa de trabalho e próximo aos equipamentos.
As unidades organizacionais que necessitarem de testes operacionais deverão solicitá-los previamente à unidade organizacional responsável pela tecnologia da informação, e estarão responsáveis, jurídica e tecnicamente, pelas ações realizadas.
Todos os computadores, tablets e impressoras deverão ser protegidos com senha (bloqueados) quando não forem utilizados.
Todos os recursos tecnológicos adquiridos pelo Confea devem ter, imediatamente, as respectivas senhas padrão (default) alteradas pela unidade organizacional responsável pela tecnologia da informação.
Seção II
Do Correio Eletrônico (E-mail Corporativo)
O uso do correio eletrônico do Confea é permitido somente para fins corporativos e relacionados às atividades do usuário na instituição.
É vedado o uso do correio eletrônico do Confea, pelos usuários, para:
I - fins pessoais;
II - enviar mensagens não solicitadas para múltiplos destinatários, exceto quando relacionadas a legítimo interesse do Conselho e seguindo as boas práticas para a garantia da privacidade da listagem;
III - enviar mensagem por correio eletrônico com o nome de outro usuário ou por meio de endereço de correio eletrônico que não esteja autorizado a utilizar;
IV - enviar qualquer mensagem por meios eletrônicos que torne o remetente, o Confea ou respectivas unidades organizacionais vulneráveis a ações civis e/ou criminais;
V - divulgar informações não autorizadas contidas em documentos e/ou imagens de tela (print screen) - incluindo de sistemas - e afins sem autorização expressa e formal concedida pelo proprietário do ativo de informação;
VI - falsificar informações de endereçamento, adulterar cabeçalhos para ocultar a identidade de remetentes e/ou destinatários ou datas, com o objetivo de evitar punições previstas;
VII - deletar mensagens de correio eletrônico quando qualquer uma das unidades organizacionais do Confea estiver sujeita a investigações e auditorias;
VIII - produzir, transmitir ou divulgar mensagem que:
a) contenha documento ou forneça orientação que conflite ou contrarie os interesses do Confea;
b) contenha ameaças eletrônicas, como spam, mail bombing, vírus de computador;
c) contenha arquivos com código executável (.exe, .com, .bat, .pif, .js, .vbs, .hta, .src, .cpl, .reg, .dll, .inf) ou qualquer outra extensão que represente risco à segurança dos sistemas de dados;
d) objetive obter acesso não autorizado a outro computador, servidor ou rede;
e) objetive interromper serviços, servidores ou rede de computadores por meio de qualquer método ilícito ou não autorizado;
f) objetive burlar sistema de segurança;
g) objetive vigiar ou assediar colaborador(es) e prestador(es) de serviço;
h) objetive acessar informações confidenciais sem explícita autorização do proprietário;
i) objetive acessar, indevidamente, informações que possam causar prejuízos a outrem;
j) inclua imagens criptografadas ou de qualquer forma mascaradas;
k) contenha conteúdo impróprio, obsceno ou ilegal;
l) seja de caráter calunioso, difamatório, degradante, infame, ofensivo, violento, ameaçador, pornográfico entre outros;
m) contenha discriminação ou preconceito de raça, cor, etnia, religião ou procedência nacional;
n) contenha fins políticos (propaganda política); e
o) inclua material protegido por direitos autorais sem a permissão do detentor dos direitos.
As mensagens de correio eletrônico sempre deverão incluir assinatura com os seguintes dados:
a) nome do usuário remetente;
b) cargo e/ou função;
c) Superintendência, Gerência, Seção, Assessoria ou Unidade a que estiver vinculado;
d) endereço;
e) telefone(s);
f) correio eletrônico; e
g) aviso de confidencialidade.
Parágrafo único. Modelo de assinatura padronizada poderá ser disponibilizada aos usuários via ferramentas tecnológicas disponíveis e em observância ao Manual de Comunicação do Confea.
Seção III
Da Internet
Qualquer informação acessada, transmitida, recebida ou produzida na internet está sujeita a monitoramento e auditorias.
Parágrafo único. O Confea, em total conformidade legal, reserva-se o direito de monitorar e registrar os acessos ocorridos em sua rede interna, incluindo a VPN e através da rede mundial de computadores provenientes de equipamentos fornecidos ou que utilizem soluções de tecnologia do Confea.
Os equipamentos, tecnologia e serviços fornecidos para o acesso à internet são de propriedade do Conselho, que poderá analisar e, se necessário, bloquear qualquer arquivo, site, correio eletrônico, domínio ou aplicação, com o intuito de assegurar o cumprimento desta Política de Segurança da Informação.
Toda alteração ou tentativa de alteração dos parâmetros de segurança da internet, por qualquer usuário, sem o devido credenciamento e autorização para tal, será julgada inadequada e os riscos relacionados serão informados ao usuário e ao respectivo gestor.
Parágrafo único. Caso a alteração ou tentativa de alteração mencionada no caput ocorra para a prática de atividades ilícitas, serão aplicáveis as sanções previstas no Capítulo VIII desta Política sem prejuízo da cooperação do Confea com as autoridades competentes para a repressão de ilícitos criminais e civis.
A internet disponibilizada pela instituição aos empregados e prestadores de serviço, poderá ser utilizada para fins pessoais, desde que:
I - não prejudique o andamento dos trabalhos nas unidades organizacionais;
II - não comprometa a banda da rede em horários estritamente comerciais; e
III - não implique conflitos de interesse com as finalidades institucionais do Conselho.
É vedada a divulgação e/ou o compartilhamento indevido de informações administrativas e gerenciais em listas de discussão, sites, comunidades de relacionamento, salas de bate-papo e comunicadores instantâneos, salvo quando estes recursos forem adotados institucionalmente como ferramenta de trabalho a critério do(s) gestor(es).
Os usuários não poderão utilizar equipamentos e recursos disponibilizados pelo Confea para download e/ou distribuição de softwares pirateados, porquanto atividades ilícitas segundo o ordenamento jurídico nacional.
Usuários não poderão utilizar recursos do Confea para, deliberadamente, propagar vírus, worms, cavalo de troia, spam e programas de controle a computadores de terceiro(s), bem como para efetuar assédio e perturbação de terceiros.
O acesso a softwares peer-to-peer ou storage backup (eMule, BitTorrent, Google Drive, Dropbox e afins) não é permitido, salvo quando autorizado pelo gestor da unidade organizacional responsável pela tecnologia da informação.
O softwares de storage backup, colaboração e compartilhamento em nuvem licenciado e permitido para uso corporativo é o OneDrive, da Microsoft, que deve ser utilizado mediante uso de login e senha de rede.
Parágrafo único. Serviços de streaming (rádios on-line, canais de broadcast e afins) são permitidos a determinadas unidades organizacionais.
Não é permitido acesso a sites de proxy.
Seção IV
Dos Sistemas, Drives e da Rede Interna
Os sistemas, drives e a rede interna são de domínio do Conselho, que poderá analisar e, se necessário, bloquear qualquer arquivo ou aplicação neles armazenados, com o intuito de assegurar o cumprimento desta Política de Segurança da Informação.
Parágrafo único. O Confea, ao monitorar os sistemas, drives e a rede interna, busca garantir a integridade dos dados, programas e aplicações.
Os sistemas e os servidores são utilizados pelos usuários para a realização de atividades em nome ou para o Confea.
É vedado aos usuários executar qualquer tipo de comando ou programa que venha a prejudicar a segurança ou o desempenho da rede corporativa.
Arquivos pessoais e/ou não pertinentes ao Confea (fotos, músicas, vídeos, dentre outros) não deverão ser copiados/movidos para os drives de rede do Conselho, pois sobrecarregam o armazenamento nos servidores.
Parágrafo único. Caso identificada a existência dos arquivos mencionados no caput, estes poderão ser permanentemente excluídos sem prévia comunicação ao titular.
Todas as atualizações e correções de segurança - sejam dos sistemas operacionais, sejam dos servidores - somente poderão ser realizadas após validadas no respectivo ambiente de homologação e, uma vez que disponibilizadas pelo fabricante ou fornecedor.
Toda alteração ou tentativa de alteração dos parâmetros de segurança da rede por qualquer usuário sem o devido credenciamento e autorização para tal, será julgada inadequada e os riscos relacionados serão informados ao usuário e ao respectivo gestor.
Parágrafo único. Caso a alteração ou tentativa de alteração mencionada no caput ocorra para a prática de atividades ilícitas, serão aplicáveis as sanções previstas no Capítulo VIII desta Política sem prejuízo da cooperação do Confea com as autoridades competentes para a repressão de ilícitos criminais e civis.
Apenas os usuários autorizados pelo Confea poderão enviar documentos e/ou imagens de tela (print screen) - incluindo de sistemas - a terceiros, com a devida observância a normas internas de privacidade e segurança da informação, bem como à legislação vigente referente a uso de imagens, direitos autorais, proteção da imagem e de dados pessoais.
CAPÍTULO VII
DA IDENTIFICAÇÃO DO USUÁRIO
Os dispositivos de identificação protegem a identidade dos usuários, de forma a prevenir que pessoas não autorizadas desempenhem atividades de empregados, estagiários, conselheiros e/ou contratados do Confea perante o próprio Conselho e/ou perante terceiros (art. 307 do Código Penal - crime de falsa identidade).
Todos os dispositivos de identificação utilizados para o exercício de atividades administrativas no Confea - número de registro; crachá; identificações de acesso a equipamentos eletrônicos, ambiente de rede e sistemas, com login e senha; certificados e assinaturas digitais e dados biométricos - devem encontrar-se associados a determinada pessoa física e atrelados inequivocamente aos documentos oficiais por ela apresentados e reconhecidos pela legislação vigente.
§1º Caberá ao Confea instituir login e senha aos usuários conforme necessidade de cada um e de suas atividades, isto é, se forem empregados, estagiários, prestadores de serviço, ou outros.
§2º Ao realizar o primeiro acesso no equipamento eletrônico, ambiente de rede local ou sistema, o usuário deverá trocar imediatamente a senha padrão conforme as orientações recebidas.
§3º A senha deverá conter caracteres em número e tipologia suficientes à proteção das informações e à garantia do sigilo dos dados.
§4º Cada usuário deverá memorizar a própria senha e/ou armazená-la em local seguro.
§5º Caso o usuário não se lembre do login e/ou senha deverá requisitar formalmente via sistemas de chamado a troca ou comparecer pessoalmente à unidade organizacional responsável para cadastrar uma nova sequência.
§6º As senhas não devem ser anotadas e não devem ser armazenadas em arquivos eletrônicos (Word, Excel etc.) compreensíveis por linguagem humana, isto é, arquivos não criptografados; não devem ser baseadas em informações pessoais, como o próprio nome, nomes de familiares, data de nascimento, endereço, placa de veículo, nome da empresa, nome do setor; e não devem ser constituídas de combinações e sequências óbvias, tais como “abcdefgh”, “87654321”, entre outras.
§7º Dispositivos de identificação pessoal não poderão ser compartilhados com terceiros.
§8º É vedado, em qualquer caso, o compartilhamento de login para funções relacionadas à administração de sistemas.
§9° A senha deve ser alterada periodicamente.
a) Será solicitada, automaticamente, a alteração de senha de 03 (três) em 03 (três) meses, não podendo ser utilizada as últimas três senhas anteriores.
O Confea deve instituir campanhas e processos regulares para a renovação de senhas dos respectivos usuários.
Parágrafo único. Os usuários podem alterar a própria senha a qualquer tempo, mediante os processos disponíveis para este fim, e devem fazê-lo imediatamente caso suspeitem que terceiros obtiveram acesso indevido ao respectivo login e senha.
Todos os acessos devem ser bloqueados quando houver o término do vínculo do usuário com o Confea decorrente de rescisão do contrato de trabalho, rescisão do contrato de estágio ou do término do mandato eletivo de conselheiro.
§1º Para fins de bloqueio de acessos a equipamentos eletrônicos, ambiente de rede e sistemas, certificados, assinaturas digitais e dados biométricos, o término do vínculo do usuário com o Conselho deve ser comunicado imediatamente à unidade organizacional responsável pela tecnologia da informação pela:
a) Unidade organizacional responsável pela gestão de recursos humanos, se se tratar de empregados e estagiários;
b) Unidade organizacional responsável pela Integração do Sistema, se se tratar de conselheiros;
§2º A mesma conduta prevista no parágrafo anterior é aplicável, no que couber, ao respectivo fiscal do contrato perante a unidade organizacional responsável pela tecnologia da informação, se se tratar de usuários cuja prestação de serviços for finalizada.
§3º Para fins de bloqueio de crachá e demais autorizações de acesso às dependências do Confea, o término do vínculo do usuário com o Conselho deve ser comunicado imediatamente à unidade organizacional responsável pela infraestrutura do Confea pela:
a) Unidade organizacional responsável pela gestão de recursos humanos, se se tratar de empregados e estagiários;
b) Unidade organizacional responsável pela Integração do Sistema, se se tratar de conselheiros;
O usuário vinculado aos dispositivos identificadores mencionados no artigo 55 é responsável pelo uso correto dos mesmos perante o Conselho e em nome do Conselho.
CAPÍTULO VIII
DO SERVIÇO DE BACKUP
Os procedimentos próprios relacionados ao serviço de backup (cópia de segurança) são previstos em normativo próprio, consideradas as seguintes diretrizes gerais:
I - o serviço de backup deve ser automatizado por sistemas informacionais próprios, com execuções agendadas;
II - a solução de backup deve ser atualizada, haja vista, por exemplo, novas versões, ciclo de vida, garantia, melhorias e atualizações de correção;
III - a administração das mídias de backup deve ser contemplada em normas complementares sobre o serviço, para garantir a segurança e a integridade do processo;
IV - é recomendável a previsão, em orçamento anual, de aprimoramento das mídias de backup - em virtude do desgaste ordinário, bem como deve-se manter estoque constante de mídias para qualquer uso emergencial;
V - as mídias de backups históricos ou especiais deverão ser armazenadas em instalações seguras, preferencialmente com estrutura de cofres e salas-cofre;
VI - os backups críticos ao bom funcionamento do Confea e respectiva carta de serviços exigem regra de retenção especial, a ser prevista em procedimentos específicos e de acordo com as normas de classificação de informações públicas, seguindo, ainda, determinações fiscais e legais existentes no país; e
VII - a execução de rotinas de backup e restore deverá ser rigidamente controlada, documentada e auditada, nos termos das normas e procedimentos próprios.
CAPÍTULO IX
DA GESTÃO DE RISCOS
A Gestão de Riscos de Segurança da Informação deve ser realizada de forma sistemática e contínua e englobar todos os ativos de informação do Confea, visando a tratar riscos relacionados a disponibilidade, integridade, confidencialidade e autenticidade.
Considera-se necessário que sejam definidos os critérios básicos para a gestão de riscos de segurança da informação, a definição do escopo e dos limites, bem como o estabelecimento de estrutura para operar a gestão de riscos de segurança da informação.
Dentre as diretrizes para definição dos critérios básicos:
I - executar o processo de avaliação de riscos;
II - definir e implementar políticas e procedimentos;
III - definir o valor estratégico do processo, a criticidade dos ativos e a importância da disponibilidade, confidencialidade e integridade;
IV - definir os critérios de impacto, como nível de classificação do ativo, danos à reputação, consequências da interrupção dos serviços, dentre outros;
V - definir os critérios para a aceitação do risco, como o nível desejável de um risco, o tratamento que será aplicado ao risco;
VI - definir o escopo e os limites, considerando os objetivos estratégicos, a política de segurança da informação, os ativos de informação, as expectativas das partes interessadas; e
VII - definir os papeis e responsabilidades dos agentes.
Compete a todos os empregados do Confea o monitoramento da evolução dos níveis de riscos e da efetividade das medidas de tratamento de riscos de Segurança da Informação.
Parágrafo único. No monitoramento de que trata o caput deste artigo, caso sejam identificadas mudanças ou fragilidades em ativos de informação, o empregado deverá reportar imediatamente o fato à unidade organizacional responsável pela tecnologia da informação.
Complementarmente, a norma ABNT ISO/IEC 27005:2019, ou posterior, deverá ser seguida naquilo que for aplicável ao Confea.
CAPÍTULO X
DA AUDITORIA E CONFORMIDADE
O objetivo da auditoria da segurança da informação é atestar que os controles de segurança em prática são eficientes e eficazes, evitando exposições da organização a riscos que podem provocar danos, se concretizados.
O uso dos ativos de informação do Confea deve ser passível de monitoramento e auditoria, devendo ser implementados e mantidos mecanismos que permitam sua rastreabilidade, acompanhamento, controle e verificação de acessos aos sistemas corporativos e rede interna do Confea.
Devem ser mantidos registros para fins de auditoria, tais como:
I - Todos os usuários devem ser identificados, registrando o acesso de usuários e observando mudanças na situação de antigos usuários;
II - Cada detalhe de eventos-chave, como a entrada de pessoas, sejam nas instalações sejam em sistemas, deve ser registrado com hora e data, assim como a saída de pessoas de instalações críticas também deve ser registrada igualmente;
III - Alterações em configurações dos sistemas devem ser registradas;
IV - O acesso a arquivos nos bancos de dados precisa ser registrado;
V - Cada pessoa deve ter privilégios de acesso bem definidos; e
VI - Todas as tentativas de acesso a qualquer objeto de auditoria que foram rejeitadas devem ser registradas para verificação.
Os procedimentos relacionados à conformidade possuem o propósito de assegurar que a segurança da informação seja implementada e operada de acordo com esta política de segurança da informação.
O Comitê de Segurança da Informação, ou similar, deverá identificar como analisar criticamente os requisitos de segurança da informação definidos nesta política de segurança da informação e, caso não conformidades sejam encontradas, deverá:
I - identificar as causas da não conformidade;
II - avaliar a necessidade de ações corretivas;
III - implementar ações corretivas adequadas; e
IV - analisar criticamente as ações corretivas adotadas para verificar sua eficácia.
Complementarmente, as normas ABNT ISO/IEC 27002:2022 e 27005:2019, ou posteriores, deverão ser seguidas naquilo que for aplicável ao Confea.
CAPÍTULO XI
DAS INFRAÇÕES E SANÇÕES ADMINISTRATIVAS
Seção I
Das infrações
São consideradas infrações à Política, a normas ou a procedimentos de segurança da informação, sem prejuízo de atos e omissões outras:
I - inobservância das obrigações constantes desta Política;
II - quaisquer ações que exponham ou possam expor o Confea ou os titulares dos dados em poder dessa autarquia a perdas e danos, direta ou indiretamente, em claro comprometimento aos ativos de informação;
III - o uso indevido de dados armazenados no Confea e divulgação não autorizada de informações, sem expressa e prévia permissão do gestor;
IV - o uso de dados, informações, equipamentos, software, sistemas e outros recursos tecnológicos para propósitos ilícitos, com violação de leis, regulamentos, preceitos éticos e/ou exigências das entidades reguladoras do Confea; e
V - a não comunicação à unidade organizacional responsável pela tecnologia da informação de quaisquer descumprimentos a esta Política, a normas ou a procedimentos de segurança da informação que, porventura, o usuário tome conhecimento direta ou indiretamente no exercício da função.
Seção II
Das sanções
O Confea exonera-se de toda e qualquer responsabilidade decorrente do uso indevido, doloso, negligente ou imprudente, dos recursos e serviços concedidos aos usuários, reservando-se o direito de analisar dados e evidências para obtenção de provas a serem utilizadas em processos investigatórios, bem como adotar as medidas legais cabíveis face ao infrator.
O não cumprimento da PSI ou a não concordância com os seus termos é considerada falta e sujeitará o usuário, independentemente de dano, às sanções administrativas cabíveis em virtude do risco criado à segurança da informação.
Cada usuário será responsável pelo dano patrimonial e/ou moral, individual ou coletivo, que causar ao Confea e/ou a terceiros em decorrência do descumprimento das diretrizes e normas estabelecidas nesta Política.
As sanções administrativas passíveis de aplicação nas hipóteses de descumprimento da PSI, após os devidos procedimentos de sindicância interna, são:
I - advertência;
II - suspensão;
III - rescisão do contrato de trabalho, se se tratar de empregado;
IV - rescisão do contrato de estágio, se se tratar de estágio; e
V- rescisão do contrato de prestação de serviços, se se tratar de prestador de serviços.
As sanções serão aplicadas preferencialmente de forma gradativa, de acordo com as peculiaridades do caso concreto e em decorrência de procedimento administrativo com direito ao contraditório e à ampla defesa, considerados os seguintes parâmetros:
I - a natureza da infração, a gravidade e a extensão do dano;
II - a boa-fé do infrator;
III - a vantagem auferida ou pretendida pelo infrator;
IV - a reincidência; e
V - a cooperação do infrator com a apuração dos fatos.
O rito processual a ser seguido encontra-se previsto no Regulamento de Procedimentos de Infrações Disciplinares do Confea, ou em norma que a vier substituir, se se tratar de infrações praticadas por empregados e estagiários e, no que couber, se se tratar de infrações praticadas por conselheiros.
Parágrafo único. Quando a infração for cometida por prestador de serviços, aplicar-se-á o rito estabelecido na Lei nº 14.133, de 1º de abril de 2021 (Lei de Licitações e Contratos Administrativos).
A imposição das penalidades supracitadas não substitui sanções administrativas, civis e penais definidas em lei especificas.
CAPÍTULO XII
DAS DISPOSIÇÕES FINAIS E TRANSITÓRIAS
Esta Política não exclui as demais normas de segurança da informação aprovadas pelo Confea e demais normas do Conselho referentes a privacidade e proteção de dados pessoais.
Esta Política de Segurança da Informação deverá ser revisada anualmente ou sempre que necessário pelo Comitê de Segurança da Informação, ou similar, com o intuito de atingir seus objetivos.
Divulgue-se a Portaria por meio da Intranet para conhecimento pelo corpo funcional.
Publique-se no Boletim de Serviço Eletrônico.
Revogar a Política de Segurança da Informação aprovada pela Decisão CD-092/2016.
Esta Portaria entra em vigor na data de sua publicação.
 | Documento assinado eletronicamente por João de Carvalho Leite Neto, Chefe da Subprocuradoria Consultiva, em 05/07/2023, às 17:04, conforme horário oficial de Brasília, com fundamento no art. 4º, § 3º, do Decreto nº 10.543, de 13 de novembro de 2020. |
| | Documento assinado eletronicamente por Joel Krüger, Presidente, em 06/07/2023, às 08:59, conforme horário oficial de Brasília, com fundamento no art. 4º, § 3º, do Decreto nº 10.543, de 13 de novembro de 2020. |
 | A autenticidade deste documento pode ser conferida no site https://sei.confea.org.br/sei/controlador_externo.php?acao=documento_conferir&id_orgao_acesso_externo=0, informando o código verificador 0779396 e o código CRC D36060FE. |
| Referência: Processo nº 01020/2019 | SEI nº 0779396 |