(DOE 25-05-2021)
Institui a Política de Segurança da Informação no âmbito da Secretaria da Fazenda e Planejamento
O Secretário da Fazenda e Planejamento, com fundamento no disposto na alínea “c” do inciso II do artigo 157 do Decreto 64.152, de 22-03-2019, Considerando a necessidade de estabelecer diretrizes e padrões para viabilizar um ambiente tecnológico controlado e seguro para a preservação da confiabilidade e credibilidade dos ativos da Instituição, bem como a necessidade de assegurar o acesso às informações por usuários devidamente autorizados; Considerando a importância da integridade, disponibilidade, confidencialidade e autenticidade dos dados e informações dos diversos sistemas e serviços de TIC da Secretaria da Fazenda e Planejamento; Considerando a necessidade de mitigar e monitorar os riscos aos quais essas informações estão sujeitas, resolve:
Artigo 1º - Fica instituída, nos termos desta Resolução, a Política de Segurança da Informação da Secretaria da Fazenda e Planejamento (Sefaz).
Capítulo I
Das Disposições Preliminares
Artigo 2º - As normas estabelecidas por esta Resolução aplicam-se aos servidores, aos estagiários, aos prestadores de serviço e a quaisquer outros indivíduos ou organizações que venham a ter relacionamento, direta ou indiretamente, com a Sefaz.
Seção I
Dos Conceitos e das Definições
Artigo 3º - Para os fins desta Resolução, considera-se:
I. Ameaça: Causa potencial de um incidente indesejado, que pode resultar em dano à Instituição;
II. Análise de Riscos: Uso sistemático de informações para identificar fontes e estimar o risco (ISO/IEC 27001);
III. Ativo Intangível: Todo elemento que possui valor para a Instituição e que esteja em suporte digital ou constitua-se de forma abstrata, mas registrável ou perceptível, tais como reputação, imagem, marca e conhecimento;
IV. Ativo: Qualquer coisa que tenha valor para a organização (ISO/IEC 27001);
V. Ativos de Informação: Base de dados e arquivos, contratos e acordos, documentação de sistema, informações sobre pesquisa, manuais de usuário, material de treinamento, procedimentos de suporte ou operação, planos de continuidade do negócio, procedimentos de recuperação, trilhas de auditoria e informações armazenadas (ISO/IEC 27002);
VI. Conformidade: Designa o dever de cumprir, de estar em conformidade e fazer cumprir regulamentos internos e externos impostos às atividades de uma organização;
VII. Continuidade do Negócio: Capacidade da organização de continuar a entrega de produtos ou serviços, em um nível aceitável previamente definido, após incidentes que causem sua interrupção;
VIII. Controle: Forma de gerenciar o risco, incluindo políticas, procedimentos, diretrizes, práticas ou estruturas organizacionais, que podem ser de natureza administrativa, técnica, de gestão ou legal (ISO/IEC 27002);
IX. Dados: Parte elementar da estrutura do conhecimento, computável, mas, incapaz de, por si só, gerar conclusões inteligíveis ao destinatário;
X. Dispositivo de Identificação Digital: Recurso tecnológico que possibilita identificar e autenticar o usuário em ambientes lógicos e físicos, tais como crachá magnético, certificado digital, token e biometria;
XI. Dispositivos Móveis: Equipamentos que têm como características a capacidade de registro, armazenamento ou processamento de informações, possibilidade de estabelecer conexões e interagir com outros sistemas ou redes, além de serem facilmente transportados devido a sua portabilidade, como por exemplo, pen drives, celulares, smartphones, notebooks ou netbooks, tablets, equipamentos reprodutores de MP3, câmeras de fotografia ou filmagem, ou qualquer dispositivo que permita conexão à internet, portabilidade ou armazenagem de dados;
XII. Evento de Segurança da Informação: Uma ocorrência identificada de um estado de sistema, serviço ou rede, indicando uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação (ISO/IEC 27001);
XIII. Incidente de Segurança da Informação: um evento ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação (ISO/IEC 27001);
XIV. Informação: Conjunto de dados que, processados ou não, podem ser utilizados para produção e transmissão de conhecimento, contidos em qualquer meio, suporte ou formato;
XV. Internet: O sistema constituído do conjunto de protocolos lógicos, estruturado em escala mundial para uso público e irrestrito, com a finalidade de possibilitar a comunicação de dados entre terminais por meio de diferentes redes;
XVI. Log: Registro de atividades gerado por programa de computador que possibilita a reconstrução, revisão e análise das operações, procedimento ou evento em sistemas de informação;
XVII. Mídias Sociais: Plataformas baseadas em internet, sobre as quais ocorre a interação entre pessoas físicas ou jurídicas e a produção, troca ou compartilhamento de informações;
XVIII. Recursos de Tecnologia de Informação e Comunicação (recursos de TIC): Recursos físicos e lógicos utilizados para criar, armazenar, processar, manusear, transportar, compartilhar e descartar a informação, podendo-se destacar: microcomputadores, notebooks, smartphones, tablets, pendrives, mídias, impressoras, scanners, softwares, entre outros;
XIX. Risco: Combinação da probabilidade da concretização de uma ameaça e seus potenciais impactos;
XX. Segurança da Informação: Preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas (ISO/IEC 27001);
XXI. Serviços Corporativos: São serviços oferecidos pela Sefaz aos usuários dos recursos de TIC, por meios próprios ou por contratos com terceiros;
XXII. Usuário: Funcionário, servidor, estagiário, prestador de serviço, terceirizado, conveniado, credenciado, fornecedor ou qualquer outro indivíduo ou organização que venha a ter relacionamento, direta ou indiretamente, com a Instituição;
XXIII. Violação: Qualquer atividade que desrespeite as diretrizes estabelecidas nesta Política ou em quaisquer das demais normas que a complemente.
Seção II
Dos Objetivos
Artigo 4º - Esta Política de Segurança da Informação (PSI) tem por objetivos:
I. Estabelecer os princípios e as diretrizes estratégicas de um modelo de Gestão da Segurança da Informação, por meio da implantação de controles para uso seguro, ético e legal das informações, dos ativos intangíveis e dos recursos de TIC da Sefaz.
II. Declarar formalmente o compromisso da Instituição com a proteção das informações, dos ativos intangíveis e dos recursos de TIC de sua propriedade ou sob sua guarda, devendo ser cumprida por todos os seus usuários.
III. Promover e motivar a criação de uma cultura de segurança da informação, abrangendo todos os usuários da Sefaz na execução de suas atividades profissionais, bem como seus processos de trabalho, buscando o envolvimento de toda a Instituição, do nível operacional ao gerencial.
IV. Zelar pela preservação dos 5 atributos fundamentais da segurança da informação:
a) Autenticidade: Garantia de que a informação é procedente e fidedigna, capaz de gerar evidências não repudiáveis da identificação de quem a criou, editou ou emitiu;
b) Confidencialidade: Garantia de que as informações sejam acessadas e reveladas somente a indivíduos, entidades e processos devidamente autorizados;
c) Disponibilidade: Garantia de que as informações e os recursos de TIC estejam disponíveis sempre que necessário e mediante a devida autorização para seu acesso ou uso;
d) Integridade: Garantia de que as informações estejam protegidas contra manipulações e alterações indevidas;
e) Legalidade: Garantia de que todas as informações sejam criadas e gerenciadas de acordo com a legislação em vigor.
Seção III
Da Estrutura Normativa
Artigo 5º - A estrutura normativa de Segurança da Informação na Sefaz é constituída de 3 categorias de documentos:
I. Política (Nível Estratégico): Define as regras estratégicas, os princípios e as diretrizes relacionadas à segurança da informação, servindo de base para as atividades da Sefaz e de seus usuários, bem como para o desenvolvimento dos demais instrumentos normativos relacionados à matéria;
II. Normas (Nível Tático): Especificam, no plano tático e de maneira detalhada, os controles de segurança da informação que devem ser implementados para alcançar a estratégia definida na Política de Segurança da Informação;
III. Procedimentos (Nível Operacional): Instrumentalizam o disposto na Política e nas Normas de Segurança da Informação, permitindo a direta aplicação nas atividades dos usuários da Sefaz.
Capítulo II
Dos Princípios da Segurança da Informação
Artigo 6º - A Gestão da Segurança da Informação na Sefaz deve se basear nos seguintes princípios:
I. Legalidade/Conformidade: Cumprimento da legislação vigente e dos instrumentos regulamentares relacionados às atividades profissionais e aos objetivos institucionais e éticos da Sefaz e da Administração Pública Estadual;
II. Defesa em Profundidade: Estratégia de segurança de informação que busca integrar pessoas, tecnologia e recursos instituindo múltiplos, redundantes e independentes níveis de proteção, considerando o valor dos ativos de TIC para a organização;
III. Hierarquia de Controles Administrativos: Estabelecimento de políticas, normas e procedimentos para o gerenciamento, planejamento, controle e avaliação de todas as atividades de segurança da informação;
IV. Simplicidade: Favorecimento da implementação de salvaguardas e controles de segurança simples ao invés de complexos;
V. Proteção dos Ativos: Preservação e proteção da imagem, logotipo, reputação e demais ativos intangíveis da Sefaz, em relação aos diversos tipos de ameaça como acesso, divulgação, compartilhamento ou modificação não autorizados;
VI. Cultura de Segurança da Informação: Incorporação, por todos os usuários, da segurança da informação como um elemento essencial em seus hábitos e atitudes dentro e fora da organização;
VII. Privilégio Mínimo: Concessão aos usuários apenas das permissões estritamente necessárias para a execução das atividades profissionais designadas;
VIII. Celeridade: Oferecimento de ações rápidas em resposta a incidentes e falhas, visando reduzir os impactos gerados por incidentes de segurança;
IX. Res