Aprova a Política de Segurança da Informação e Comunicação no âmbito da Fundação Universidade Federal de Ciências da Saúde de Porto Alegre (UFCSPA).

O CONSELHO UNIVERSITÁRIO DA FUNDAÇÃO UNIVERSIDADE FEDERAL DE CIÊNCIAS DA SAÚDE DE PORTO ALEGRE (CONSUN), no uso de suas atribuições conferidas pelo Estatuto e Regimento Geral desta Universidade, em sessão ordinária realizada no dia 26 de outubro de 2023, nos termos do art. 7º da Resolução Conjunta CONSUN-CONSEPE nº 1, de 31 de março de 2022, considerando os autos do processo nº 23103.011658/2023-99, RESOLVE:

Art. 1º Aprovar a Política de Segurança da Informação e Comunicação da Fundação Universidade Federal de Ciências da Saúde de Porto Alegre (UFCSPA), que passa a vigorar com a seguinte redação:

Disposições Gerais

Art. 2º A Política de Segurança da Informação e Comunicação (PoSIC) da UFCSPA visa estabelecer as diretrizes, objetivos e estruturas voltadas à segurança da informação, obedecendo aos princípios constitucionais, administrativos e legais vigentes que regem a Administração Pública Federal.

Parágrafo único. A PoSIC, aprovada por essa Resolução, foi proposta e será revisada e atualizada pelo Comitê Gestor de Segurança da Informação e Comunicação (CGSI) sempre que necessário, de modo a mantê-la em conformidade com as disposições legais sobre o tema.

Art. 3º A PoSIC da UFCSPA aplica-se a todos os cidadãos, servidores, fornecedores, prestadores de serviços e demais colaboradores que, oficialmente, executem atividades vinculadas à atuação institucional e, no que couber, ao relacionamento da UFCSPA com órgãos e entidades públicos ou privados.

Parágrafo único. Os acordos de cooperação, contratos, convênios e demais instrumentos do mesmo gênero celebrados entre a UFCSPA e órgãos públicos ou privados devem observar o disposto nessa Resolução.

Art. 4º Para fins desta PoSIC, considera-se:

I - ativo: qualquer bem, material ou não, que tenha valor para esta instituição;

II - ativo custodiado: Ativo de terceiro que é administrado e conservado por esta instituição;

III- ativo de informação: Ativo que guarda informação de valor para esta instituição;

IV - classificação do Ativo: definição do nível de segurança adequado para um Ativo;

V - cópia de segurança: cópia reserva que deve ser utilizada no processo de restauração, caso a cópia original seja perdida ou danificada. Também conhecida como Backup;

VI - diretriz: conjunto de orientações que devem ser observadas para a produção de normas e procedimentos específicos;

VII - gestor do Ativo: membro desta instituição responsável pela segurança de um determinado Ativo;

VIII - incidente de segurança: evento identificado em um Ativo que indica uma violação da PoSIC;

IX - informação sigilosa: aquela submetida temporariamente à restrição de acesso público em razão de sua imprescindibilidade para a segurança da sociedade e do Estado;

X - não-repúdio: garantia de que os atos de um usuário são irretratáveis, ou seja, não poderão ser negados;

XI - norma: conjunto de regras que devem ser seguidas por um grupo;

XII - política de Segurança da Informação e Comunicação (PoSIC): conjunto de princípios que norteiam a gestão da segurança da informação e que devem ser observados pelo corpo técnico e gerencial da instituição, bem como por seus usuários internos e externos, a fim de garantir que os Ativos sejam assegurados;

XIII - procedimento: conjunto de ações que devem ser realizadas por um grupo para produzir algo;

XIV - senha forte: que contenha o mínimo de oito caracteres, dois números, um caractere especial, uma letra maiúscula e uma letra minúscula;

XV - titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento; e

XVI - tratamento: toda operação realizada com dados e informações, como as que se referem à coleta, produção, recepção, avaliação ou controle da informação, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, modificação, comunicação, transferência, difusão ou extração.

Princípios e Diretrizes

Art. 5º A PoSIC da UFCSPA baseia-se nos seguintes princípios e diretrizes gerais para o tratamento de dados:

I - adequação: compatibilidade de tratamentos com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

II - autenticidade: assegura a correspondência entre o autor de determinada informação e a pessoa, processo ou sistema a quem se atribui a autoria;

III - confidencialidade: garante que a informação seja acessada somente pelas pessoas ou processos que tenham autorização para tal;

IV - disponibilidade: garante que as informações estejam acessíveis às pessoas e aos processos autorizados, no momento requerido;

V - finalidade: realização de tratamentos para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

VI - integridade: garante a não violação das informações, com intuito de protegê-las contra alteração, gravação ou exclusão acidental ou proposital;

VII - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

VIII - não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;

IX - necessidade: limitação de tratamentos ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento;

X - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

XI - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

XII - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados; e

XIII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais e as informações de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

Parágrafo único. Os princípios e diretrizes gerais orientarão a criação de normas e procedimentos relacionados à segurança da informação e comunicação no âmbito da UFCSPA.

Tratamento da Informação

Art. 6º A UFCSPA, representada pelo CGSI, providenciará para que as normas sejam amplamente divulgadas e que os procedimentos sejam observados por todos os usuários de Ativos da informação da universidade.

Art. 7º O tratamento da informação deve ser realizado de forma a viabilizar e assegurar a confidencialidade, integridade, disponibilidade e autenticidade da informação, observada a legislação em vigor no que diz respeito ao estabelecimento de graus de sigilo e a Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709, de 14 de agosto de 2018.

Art. 8º O acesso, divulgação e tratamento da informação classificada ficarão restritos às pessoas com necessidade de conhecê-la.

Parágrafo único. O acesso à informação classificada (dependendo do grau de sigilo) poderá ser obtido por qualquer pessoa mediante autorização da autoridade competente, no qual o agente público se compromete a manter o sigilo da informação, sob pena de responsabilidade penal, cível e administrativa, na forma da lei.

Art. 9º As informações institucionais não deverão ser eliminadas indevidamente de sistemas informacionais sem a devida autorização, conforme legislação pertinente.

Art. 10. Os sistemas informatizados deverão garantir que as informações armazenadas sejam acessíveis seguindo as determinações legais e normativas, oportunizando, dessa forma, o seu acesso e a preservação.

Confidencialidade da Informação

Art. 11. Quanto à confidencialidade, as informações produzidas ou custodiadas pela UFCSPA classificam-se nos seguintes graus:

I - ultrassecretas: informações cuja competência de classificação é do Presidente da República, Vice-Presidente da República, Ministros de Estado e autoridades com as mesmas prerrogativas, Comandantes da Marinha, do Exército, da Aeronáutica, e Chefes de Missões Diplomáticas e Consulares permanentes no exterior;

II - secretas: informações que, em razão de lei, interesse público ou para preservação de direitos individuais, devam ser de conhecimento reservado;

III - reservadas: informações que, por sua natureza ou por interesse da Universidade, só podem ser divulgadas a um grupo restrito de pessoas;

IV - pessoais: aquela relacionada à pessoa natural identificada ou identificável; e

V - públicas: informações que podem ser divulgadas a qualquer pessoa.

§ 1º Para a classificação da informação em determinado grau de sigilo deverá ser utilizado o critério menos restritivo possível.

§ 2º Ao conjunto de informações que não possa sofrer fracionamento para fins de acesso deverá ser atribuído o grau de confidencialidade da sua parte cuja classificação seja a mais restritiva.

Art. 12. Informações classificadas como sigilosas terão os prazos de restrição de acesso assim definidos: 5 (cinco) anos para informações reservadas, 15 (quinze) anos para informações secretas e 25 (vinte e cinco) anos para informações ultrassecretas.

Parágrafo único. As informações pessoais terão seu acesso restrito, independentemente de classificação de sigilo e pelo prazo máximo de 100 (cem) anos a contar da sua data de produção, a agentes públicos legalmente autorizados e à pessoa a que elas se referirem.

Art. 13. Os dados e informações produzidas ou custodiadas pela UFCSPA devem ser classificados quanto aos aspectos de seu valor, requisitos legais, sensibilidade e criticidade de forma a receber o nível mais adequado de proteção em atendimento à legislação vigente.

Art. 14. O tratamento dos dados e informações produzidas ou custodiados pela UFCSPA, que não sejam de domínio público, precisa ser compatível com as suas finalidades e o seu contexto, limitando-se ao seu objetivo e às informações pertinentes, com dados proporcionais e não excessivos, com propósitos legítimos e específicos.

Parágrafo único. Devem ser utilizadas medidas técnicas e administrativas aptas a proteger os dados e informações de acessos não autorizados à finalidade, de situações acidentais ou ilícitas e da ocorrência de danos.

Gestão de Riscos

Art. 15. As normas e procedimentos para implantação e gerenciamento de riscos serão definidos em documento específico elaborado pelo CGSI, em conformidade com a Política de Gestão de Riscos da UFCSPA (Resolução CONSUN UFCSPA nº 39/2017) e a Política de Proteção de Dados Pessoais (Resolução CONSUN UFCSPA nº 70/2022).

Parágrafo único. O processo de gestão de riscos tem por objetivo identificar os riscos às atividades da universidade e, a partir de critérios de priorização, gerar ações que minimizem seus efeitos.

Art. 16. As necessidades de melhorias identificadas por qualquer área ou agente público deverão ser comunicadas ao CGSI.

Art. 17. As instalações de infraestrutura computacional, de armazenamento de dados, de rede e telecomunicações, deverão ser planejadas, operacionalizadas e continuamente monitoradas por processo formal de Gestão de Riscos de Segurança da Informação, observando, principalmente:

I - sistemas de proteção física para mitigar o risco de acesso não autorizado;

II - sistema alternativo de provisão de energia elétrica;

III - proteção contra descargas elétricas e atmosféricas;

IV - planos e sistemas de proteção contra incêndio e outros sinistros;

V - sítios alternativos que garantam a disponibilidade de sistemas; e

VI - utilização de infraestrutura de redes e telecomunicações seguras.

Gestão de Continuidade

Art. 18. A Gestão de Continuidade tem o objetivo de minimizar os impactos decorrentes de falhas, desastres ou indisponibilidades significativas sobre as atividades da UFCSPA, além de recuperar perdas de Ativos de informação em nível aceitável, e prevê a concepção de Planos de Continuidade Operacional (PCO) e Planos de Recuperação de Desastres (PRD).

Art. 19. O CGSI analisará e proporá os recursos e melhorias necessárias para a continuidade das operações, de modo a desenvolver a cultura de Gestão de Continuidade da UFCSPA.

Auditoria

Art. 20. A auditoria servirá para manter a rastreabilidade das ações e o não-repúdio das transações efetuadas nos sistemas e qualquer Ativo da informação da universidade.

Art. 21. Cabe ao CGSI responder às diligências relativas à segurança da informação, promovidas por meio de auditoria interna ou externa, bem como responder aos questionários enviados pelo Tribunal de Contas da União (TCU), Controladoria Geral da União (CGU) e demais órgãos da Administração Pública Federal.

Controles de Acesso

Art. 22. Com relação ao Controle de Acesso, que envolve o acesso lógico e físico aos Ativos, devem ser considerados os seguintes aspectos:

I - todo uso dos Ativos deve ser realizado mediante identificação única e intransferível do usuário;

II - é dever de todos zelar pelo sigilo de suas senhas de autenticação, bem como escolher senhas fortes dificultando ser descoberta facilmente por outra pessoa;

III - todo uso dos Ativos deve ser controlado e limitado ao mínimo necessário para o cumprimento das atividades de cada usuário. Qualquer outra forma de uso deve ser previamente autorizada formalmente pela respectiva Chefia Imediata;

IV - sempre que houver a admissão, mudança das atribuições ou desligamento de membros desta instituição, será responsabilidade da chefia imediata notificar aos gestores das áreas dos Ativos utilizados por esse membro:

a) os gestores das áreas deverão providenciar os ajustes necessários dos privilégios de acesso dos respectivos Ativos.

V - todo ambiente físico e lógico deve ser classificado e protegido com mecanismos adequados de segurança de acordo com a criticidade e o sigilo dos Ativos que são mantidos naquele local; e

VI - somente será permitido o uso de recursos homologados e autorizados pela instituição e atendendo a legislação pertinente em vigor. A utilização desses sem licenças correspondentes é crime, previsto na Lei nº 9.609, de 19 de fevereiro de 1998.

Tratamento de Incidentes

Art. 23. A Gestão de Incidentes tem como principal objetivo assegurar que incidentes em segurança da informação sejam identificados, registrados e avaliados em tempo hábil, com a tomada de medidas de contenção e/ou solução adequadas.

Art. 24. O processo de Gestão de Incidentes de Segurança da Informação será composto pelas seguintes etapas:

I - detecção e registro: compreende o recebimento, registro e autorizações necessárias para o encaminhamento da investigação;

II - investigação e contenção: compreende a investigação e tratamento do incidente, coleta de dados, comunicação às áreas afetadas, proposição e aplicação ações de contenção, quando necessárias;

III - encerramento: compreende a análise do incidente, com verificação da necessidade de outras ações, providências ou comunicações, e após seu cumprimento, o encerramento do incidente; e

IV - avaliação de incidentes: compreende a avaliação do histórico de incidentes, com consolidação das informações e indicadores e verificação das oportunidades de melhoria e lições aprendidas.

Art. 25. Quando houver indícios de ilícitos criminais durante o gerenciamento dos incidentes de segurança, o CGSI e a Reitoria devem ser comunicados para adoção das providências cabíveis.

Reitoria

Art. 26. A Reitoria deve prover a orientação e o apoio necessários às ações de segurança da informação e comunicação, tendo como responsabilidades:

I - designar o Gestor de Segurança da Informação e Comunicação;

II - instituir e nomear o CGSI;

III - instituir e nomear a Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais (ETIR); e

IV - prover a disponibilidade de recursos orçamentários possíveis para garantir as ações de implementação desta Política.

Parágrafo único. O provimento de recursos necessários ao implemento desta política ocorrerá na medida das possibilidades institucionais, considerando os contextos interno e externo nos quais a UFCSPA está inserida e os recursos disponíveis.

Chefias

Art. 27. São responsabilidades das Chefias as seguintes atividades:

I - gerenciar o cumprimento da PoSIC, por parte dos servidores sob sua supervisão;

II - identificar os desvios praticados e adotar as medidas corretivas apropriadas;

III - proteger, em nível físico e lógico, os Ativos de informação e de processamento da UFCSPA relacionados com sua área de atuação;

IV - tratar e organizar a informação relacionada com sua área de atuação;

V - definir os requisitos de segurança para os Ativos sob sua responsabilidade;

VI - garantir que o pessoal sob sua supervisão compreenda e colabore para a proteção dos Ativos de informação da UFCSPA;

VII - solicitar ao setor competente a concessão de acesso privilegiado a usuários sob sua supervisão para acessar as informações digitais da unidade administrativa sob sua responsabilidade;

VIII - solicitar ao setor competente a retirada de acesso privilegiado às informações da unidade administrativa sob sua responsabilidade a usuários sob sua supervisão;

IX - tomar as medidas administrativas necessárias para que sejam aplicadas ações corretivas nos casos de comprometimento dessa política por parte dos usuários sob sua supervisão;

X - definir áreas seguras, incluindo perímetro de segurança física, controles de entrada física, segurança em escritórios, salas e instalações, proteção contra ameaças externas e do meio ambiente e acesso do público; e

XI - notificar, com a maior brevidade possível incidente de segurança da informação.

Usuários

Art. 28. É dever de todo usuário dos Ativos de informação:

I - preservar a integridade e guardar sigilo das informações de que fazem uso, bem como zelar e proteger os respectivos recursos de tecnologia da informação (TI) e Ativos da informação;

II - cumprir a PoSIC, sob pena de incorrer nas sanções disciplinares e legais cabíveis;

III - utilizar os sistemas de informações da UFCSPA e os recursos a eles relacionados somente para os fins previstos pela universidade;

IV - cumprir as regras, normas e procedimentos de proteção estabelecidos aos Ativos de informação;

V - responder por todo e qualquer acesso físico e aos recursos de TI da UFCSPA, bem como pelos efeitos desses acessos efetivados através do seu usuário de rede ou outro atributo empregado para esse fim (login, crachá, carimbo, e-mail, assinatura digital, etc.);

VI - abster-se de utilizar, inspecionar, copiar ou armazenar programas de computador ou qualquer outro material, em violação à legislação de propriedade intelectual pertinente; e

VII - comunicar à Chefia Imediata qualquer irregularidade ou desvio.

Comitê Gestor de Segurança da Informação e Comunicação (CGSI)

Art. 29. O CGSI será composto por representantes das áreas abaixo discriminadas.

I - Assessoria Especial de Comunicação Social;

II - Divisão de Análise e Desenvolvimento do NTI;

III - Divisão de Arquivo;

IV - Divisão de Segurança da Informação e Infraestrutura do NTI;

V - Divisão de Suporte Técnico do NTI;

VI - Encarregado pelo tratamento de dados (DPO);

VII - Pró-reitoria de Administração;

VIII - Pró-reitoria de Extensão, Cultura e Assuntos Estudantis;

IX - Pró-reitoria de Gestão com Pessoas;

X - Pró-reitoria de Graduação;

XI - Pró-reitoria de Pesquisa e Pós-graduação; e

XII - Pró-reitoria de Planejamento.

Art. 30. São responsabilidades do CGSI:

I - propor a revisão da PoSIC, de modo a atualizar a política frente a novos requisitos corporativos, segundo a legislação vigente;

II - propor, analisar e aprovar normas e procedimentos relativos à segurança da informação na UFCSPA;

III - apoiar as áreas da UFCSPA na produção de planos de gestão de riscos, de Contingência e Continuidade e ações relacionados à segurança da informação e comunicação;

IV - atender às determinações impostas ao CGSI na Política de Proteção de Dados Pessoais (Resolução CONSUN UFCSPA Nº 70/2022); e

V - indicar a composição da ETIR à Reitoria.

Gestor de Segurança da Informação e Comunicação

Art. 31. São responsabilidades do Gestor de Segurança da Informação e Comunicação:

I - promover e disseminar a cultura de segurança da informação e comunicação;

II - indicar à Reitoria os servidores para composição do CGSI;

III - coordenar o CGSI;

IV - acompanhar as investigações e as avaliações dos danos decorrentes de quebras de segurança;

V - propor recursos necessários às ações de segurança da informação;

VI - incentivar estudos de novas tecnologias, bem como seus eventuais impactos relacionados à segurança da informação e comunicação;

VII - manter contato com o Departamento de Segurança da Informação e Comunicação do Gabinete de Segurança Institucional da Presidência da República para o trato de assuntos relativos à segurança da informação e comunicação; e

VIII - verificar os resultados dos trabalhos de auditoria sobre a gestão da segurança da informação.

Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais (ETIR)

Art. 32. A ETIR será composta por servidores efetivos, com capacitação técnica compatível com as atividades da equipe, com atribuições e competências determinadas pela legislação competente e coordenada pela chefia responsável pela Divisão de Segurança da Informação e Infraestrutura do NTI;

Art. 33. São responsabilidade da ETIR:

I - detecção de intrusão e avaliação de segurança;

II - tratamento de artefatos maliciosos e vulnerabilidades;

III - emissão de alertas, advertências, anúncios e disseminação de informações relacionadas à segurança;

IV - prospecção de novas tecnologias para segurança da informação;

V - registro de todos os incidentes de segurança da informação com a finalidade de assegurar registro histórico das atividades;

VI - tratamento da informação de forma a viabilizar e assegurar disponibilidade, integridade, confidencialidade e autenticidade da informação, observada a legislação em vigor; e

VII - articulação com outros grupos de segurança externos e com as unidades acadêmicas da Universidade, visando ações conjuntas envolvendo incidentes de segurança.

Art. 34. Durante o gerenciamento de incidentes de segurança, havendo indícios de ilícitos criminais, a ETIR tem como dever:

I - acionar as autoridades competentes para a adoção dos procedimentos legais julgados necessários;

II - observar os procedimentos para preservação e cadeia de custódia; e

III - priorizar a continuidade dos serviços e da missão institucional da organização.

Parágrafo único. A ETIR deve possuir os recursos materiais, tecnológicos e humanos suficientes para prestar os serviços oferecidos na medida das possibilidades institucionais.

Terceiros e Fornecedores

Art. 35. É responsabilidade dos terceiros e fornecedores:

I - proteger os Ativos da UFCSPA, incluindo informação, evitando perda ou modificação de dados, software e hardware;

II - assegurar o retorno ou a destruição da informação e dos Ativos no final do contrato, ou em um dado momento definido no acordo;

III - observar restrições em relação a cópias e divulgação de informações, e uso dos acordos de confidencialidade;

IV - observar restrições em relação à manutenção e instalação de software e hardware;

V - atender à política de controle de acesso da UFCSPA;

VI - relatar incidentes de segurança da informação e violação da segurança à ETIR; e

VII - atender as normas e procedimentos complementares da UFCSPA destinados à segurança da informação e comunicação.

Penalidades

Art. 36. A não observância das determinações legais pode acarretar em repercussões negativas à UFCSPA e em sanções administrativas, civis e penais, isolada ou cumulativamente, aos responsáveis, nos termos da legislação aplicável, assegurado aos envolvidos o contraditório e a ampla defesa.

Parágrafo único. Todos os usuários envolvidos responderão administrativa, civil e/ou penalmente pelo prejuízo que ocasionarem à UFCSPA em decorrência do descumprimento das regras previstas nesta PoSIC, nas demais normas internas e/ou na legislação vigente.

Disposições Finais e Transitórias

Art. 37. Os casos omissos serão resolvidos pelo CGSI.

Art. 38. Esta Resolução entra em vigor em 1º de novembro de 2023.

Art. 39. Fica revogada a Resolução CONSUN UFCSPA nº 57, de 9 de novembro de 2017.

 

Publique-se no Boletim de Serviço.

 

Porto Alegre, 27 de outubro de 2023.

JENIFER SAFFI

Vice-Reitora