Iniciar Conteúdo Principal

Política de Segurança da Informação e Comunicações

ícone do envelope Você pode solicitar notificação para Política de Segurança da Informação e Comunicações.

  1. Como faço para elaborar a Política de Segurança da Informação e Comunicações (PoSIC) do órgão onde trabalho?
  2. Há uma hierarquia de documentos relacionados à Segurança da Informação e Comunicações?
  3. O que devo fazer para institucionalizar a PoSIC no meu órgão ou entidade?
  4. Há necessidade ou obrigação de implantar uma Política de Segurança?
  5. Quais os objetivos de uma PoSIC?
  6. Quais os requisitos de elaboração da PoSIC?
  7. Qual a estrutura de uma PoSIC?

  1. P: Como faço para elaborar a Política de Segurança da Informação e Comunicações (PoSIC) do órgão onde trabalho?

    R:

    O primeiro passo na implantação da Segurança da Informação é a elaboração da Política de Segurança da Informação e Comunicações (PoSIC).

    Para se ter uma PoSIC adequada e efetiva é necessário que ela contenha informações suficientes sobre o que deve ser feito para garantir a proteção das informações e das pessoas do órgão ou entidade da APF. O sucesso da Segurança da Informação depende da identificação e implementação dos controles de segurança adequados, sendo de extrema importância a participação de todos os servidores e terceiros do órgão ou entidade no seu cumprimento.

    São etapas da implementação da PoSIC:

    1. Desenvolvimento – identificar os requisitos corporativos da política de Segurança da Informação e definir padrões para a documentação da política;
    2. Aprovação – a alta direção deve aprovar formalmente a PoSIC;
    3. Implementação – solicitar e receber apoio da alta direção, contar com o envolvimento das demais áreas do órgão ou entidade e desenvolver um programa de conscientização de Segurança da Informação;
    4. Conformidade – avaliar a conformidade e efetividade da PoSIC estabelecida e realizar ações corretivas no caso de não-conformidades;
    5. Manutenção – revisar periodicamente a PoSIC e definir um processo de gestão de mudanças.

  2. P: Há uma hierarquia de documentos relacionados à Segurança da Informação e Comunicações?

    R:

    Deve haver uma hierarquização de documentos que permita apresentar os documentos de Segurança da Informação implementados ou que estão sendo planejados e relacioná-los conforme o assunto ou o risco de segurança.

    Essa hierarquia possibilita efetivar a comunicação da alta direção até os usuários finais e outras partes interessadas com o intuito de esclarecer quais documentos estão disponíveis e quais se aplicam a cada caso.

     A hierarquia dos documentos consta de:

    • Política de Segurança da Informação - responde ao "porquê" de realizar a Segurança da Informação, definindo diretrizes genéricas do que deve ser realizado pela organização para alcançar a SIC;
    • Normas Específicas - respondem "o que" fazer para se alcançar as diretrizes definidas na PoSIC;
    • Guias e Procedimentos - respondem "como" fazer cada item definido nas normas específicas.

  3. P: O que devo fazer para institucionalizar a PoSIC no meu órgão ou entidade?

    R:

    Conforme a NC nº 03/IN01/DSIC/GSIPR para que a PoSIC seja institucionalizada é necessário:

    • Implementar a PoSIC após a aprovação formal por parte da autoridade máxima responsável, demonstrando a todos o seu comprometimento;
    • Garantir que sejam provisionados recursos para a implementação da PoSIC;
    • Promover a cultura de Segurança da Informação e Comunicações, sensibilizando, conscientizando, capacitando e especializando, bem como promover a divulgação da PoSIC a todos os servidores, usuários, prestadores de serviço e terceirizados.

  4. P: Há necessidade ou obrigação de implantar uma Política de Segurança?

    R:

    O Decreto 3.505/2000 institui a Política de Segurança da Informação nos órgãos e entidades da Administração Pública Federal. Ele estabelece, em seu Art. 1º, os seguintes pressupostos básicos da política:

    • assegurar a garantia ao direito individual e coletivo das pessoas, à inviolabilidade da sua intimidade e ao sigilo da correspondência e das comunicações, nos termos previstos na Constituição;
    • proteção de assuntos que mereçam tratamento especial;
    • capacitação dos segmentos das tecnologias sensíveis;
    • uso soberano de mecanismos de Segurança da Informação, com o domínio de tecnologias sensíveis e duais;
    • criação, desenvolvimento e manutenção de mentalidade  de Segurança da Informação;
    • capacitação científico-tecnológica do País para uso da criptografia na segurança e na defesa do Estado; e
    • conscientização dos órgãos e entidades da APF sobre a importância das informações processadas e sobre o risco da sua vulnerabilidade.
    A Norma Complementar nº 03/IN01/DSIC/GSIPR estabelece diretrizes, critérios e procedimentos para a elaboração, institucionalização, divulgação e atualização da Política de Segurança da Informação e Comunicações (PoSIC) nos órgãos e entidades da Administração Pública Federal, direta e indireta – APF.

  5. P: Quais os objetivos de uma PoSIC?

    R:

    O Decreto 3.505/2000 estabelece, em seu artigo 3º, os seguintes objetivos:

    • dotar os órgãos e as entidades da Administração Pública Federal de instrumentos jurídicos, normativos e organizacionais que os capacitem científica, tecnológica e administrativamente a assegurar a confidencialidade, a integridade, a autenticidade, o não-repúdio e a disponibilidade dos dados e das informações tratadas, classificadas e sensíveis;
    • eliminar a dependência externa em relação a sistemas, equipamentos, dispositivos e atividades vinculadas à segurança dos sistemas de informação;
    • promover a capacitação de recursos humanos para o desenvolvimento de competência científico-tecnológica em Segurança da Informação;
    • estabelecer normas jurídicas necessárias à efetiva implementação da Segurança da Informação;
    • promover as ações necessárias à implementação e manutenção da Segurança da Informação;
    • promover o intercâmbio científico-tecnológico entre os órgãos e as entidades da Administração Pública Federal e as instituições públicas e privadas, sobre as atividades deSegurança da Informação;
    • promover a capacitação industrial do País com vistas à sua autonomia no desenvolvimento e na fabricação de produtos que incorporem recursos criptográficos, assim como estimular o setor produtivo a participar competitivamente do mercado de bens e de serviços relacionados com a Segurança da Informação; e
    • assegurar a interoperabilidade entre os sistemas de Segurança da Informação.

  6. P: Quais os requisitos de elaboração da PoSIC?

    R:

    São requisitos para a elaboração da PoSIC:

    • A Norma Complementar nº 03/IN01/DSIC/GSIPR orienta, primeiramente, que a PoSIC deve levar em consideração a natureza e a finalidade do órgão ou entidade da APF, alinhando-se à sua missão e ao seu planejamento estratégico;
    • Criar grupos de trabalhos para desenvolvimento da PoSIC e de suas Normas Complementares;
    • Ter apoio da autoridade decisória do órgão e entidade;
    • Todos os processos de Gestão de Segurança da Informação deve ter a participação de todas as áreas institucionais (jurídico, TI, orçamento, planejamento, RH, segurança patrimonial, etc.);
    • Considerar estrutura, processos, informações, pessoas, sistemas e serviços prestados pela instituição.

  7. P: Qual a estrutura de uma PoSIC?

    R:

    1. Escopo: contém os objetivos e a abrangência da PoSIC, em que os limites das ações de segurança e comunicações são definidos.
    2. Conceitos e Definições: recomenda-se o uso de todos os conceitos e suas definições utilizados na PoSIC que possam gerar dúvidas ou significados ambíguos;
    3. Referências Legais e Normativas: é necessário que sejam relacionadas as referências legais e normativas utilizadas na elaboração da PoSIC;
    4. Princípios: A PoSIC deve estar alinhada aos princípios constitucionais, administrativos e do arcabouço normativo vigente brasileiro relacionados à Segurança da Informação;
    5. Diretrizes Gerais: recomenda-se que sejam estabelecidas diretrizes gerais para a implementação da SIC.
    6. Diretrizes Específicas: definir diretrizes para cada um das seguintes disciplinas relacionadas abaixo:
      1. Tratamento da Informação;
      2. Tratamento de Incidentes de Rede;
      3. Gestão de Riscos;
      4. Gestão de Continuidade;
      5. Auditoria e Conformidade;
      6. Controle de Acesso;
      7. Uso de e-mail e de Acesso à Internet;
      8. Gestão de Ativos de Informação;
      9. Segurança Física e do Ambiente;
      10. Segurança em Recursos Humanos;
      11. Gestão de Operações e Comunicações;
      12. Criptografia;
      13. Desenvolvimento Seguro de Software, etc.
    7. Penalidades: Ações que violem a PoSIC ou quaisquer de suas diretrizes, normas e procedimentos, ou que quebrem os controles de Segurança da Informação serão passíveis de investigação, podendo acarretar a qualquer pessoa sansões civis, penais e administrativas.
    8. Competências e Responsabilidades: definir competências e responsabilidades para:
      1. Gestor de SIC;
      2. Comitê de SIC;
      3. Grupos de trabalho;
      4. Gestores dos ativos de informação;
      5. Gestores dos departamentos institucionais;
      6. Usuários;
      7. Terceiros; etc.
    9. Atualização: revisar a PoSIC e os instrumentos normativos produzidos a partir dela, não excedendo o prazo máximo de 3 (três) anos.

Adicionar comentário