INSTRUÇÃO NORMATIVA Nº 5/SETI/UFFS/2014 (RETIFICADA, ALTERADA)
INSTRUÇÃO NORMATIVA Nº 12/SETI/UFFS/2020
Alterada por:INSTRUÇÃO NORMATIVA Nº 12/SETI/UFFS/2020
O REITOR no uso de suas atribuições legais e considerando a Portaria 1340/GR/UFFS/2013; a Norma Complementar 10/IN01/DSIC/GSIPR; a Norma Complementar 07/IN01/DSIC/GSIPR; a Norma ABNT NBR ISO/IEC 27001:2005; a Norma ABNT NBR ISO/IEC 27002:2005 e a Norma ABNT NBR ISO/IEC 27005:2011;
Considerando a necessidade de estabelecer diretrizes e procedimentos para a gestão e uso eficiente dos recursos de tecnologia da informação e comunicação no âmbito da UFFS;
Considerando que os recursos de tecnologia da informação são ativos estratégicos que suportam processos de negócio institucionais;
Considerando a necessidade de identificar e documentar os ativos de informação da UFFS;
Considerando a necessidade de garantir a integridade e disponibilidade dos recursos de Tecnologia da Informação e Comunicação da UFFS.
O SECRETÁRIO ESPECIAL DE TECNOLOGIA E INFORMAÇÃO no uso de suas atribuições legais, e considerando:
a. a Portaria nº 1340/GR/UFFS/2013, que estabelece diretrizes, critérios, normas e procedimentos de Segurança da Informação e Comunicações;
b. a Norma Complementar nº 10/IN01/DSIC/GSIPR, de 10 de fevereiro de 2012, que estabelece diretrizes para o processo de Inventário e Mapeamento de Ativos de Informação, para apoiar a Segurança da Informação e Comunicações (SIC), dos órgãos e entidades da Administração Pública Federal, direta e indireta – APF;
c. a Norma Complementar nº 07/IN01/DSIC/GSIPR, de 16 de julho de 2014, que estabelece as Diretrizes para Implementação de Controles de Acesso Relativos à Segurança da Informação e Comunicações, nos órgãos e entidades da Administração Pública Federal (APF), direta e indireta;
d. a Norma ABNT NBR ISO/IEC 27001:2013, de 8 de novembro de 2013, que especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão da segurança da informação dentro do contexto da organização;
e. a Norma ABNT NBR ISO/IEC 27002:2013, de 8 de novembro de 2013, que fornece diretrizes para práticas de gestão de segurança da informação e normas de segurança da informação para as organizações, incluindo a seleção, a implementação e o gerenciamento de controles, levando em consideração os ambientes de risco da segurança da informação da organização;
f. a Norma ABNT NBR ISO/IEC 27005:2019, de 24 de outubro de 2019, que fornece diretrizes para o processo de gestão de riscos de segurança da informação;
g. a necessidade de estabelecer diretrizes e procedimentos para a gestão e uso eficiente dos recursos de tecnologia da informação e comunicação no âmbito da UFFS;
h. que os recursos de tecnologia da informação são ativos estratégicos que suportam processos de negócio institucionais;
i. a necessidade de identificar e documentar os ativos de informação da UFFS; e
j. a necessidade de garantir a integridade e disponibilidade dos recursos de Tecnologia da Informação e Comunicação da UFFS, (NOVA REDAÇÃO DADA PELA INSTRUÇÃO NORMATIVA Nº 12/SETI/UFFS/2020)
RESOLVE:
ESTABELECER as regras para Gestão de Ativos de Informação da Universidade Federal da Fronteira Sul (UFFS) contemplando inventário e mapeamento, gestão do inventário e acesso aos ativos de informação da UFFS, nos seguintes termos:
CAPÍTULO I
DAS DISPOSIÇÕES GERAIS
Art. 1º Para fins desta Instrução Normativa, considera-se:
I - Confidencialidade: propriedade de que a informação não esteja disponível ou revelada a pessoa física, sistema, órgão ou entidade não autorizado;
II - Valor do Ativo de Informação: valor, tangível e/ou intangível, que reflete tanto a importância do ativo de informação para o alcance dos objetivos institucionais da UFFS;
III - Acesso: ato de ingressar, transitar, conhecer ou consultar a informação, bem como a possibilidade de usar os ativos de informação de um órgão ou entidade;
IV - Agente Responsável: Servidor Público ocupante de cargo efetivo ou em comissão da Administração Pública Federal, direta ou indireta, incumbido de gerenciar o processo de Inventário e Mapeamento de Ativos de Informação;
V - Ativos de Informação: aquilo que tem valor para a instituição, seja tangível ou intangível, tais como dados, softwares, equipamentos, instalações e serviços;
VI - Autenticidade: propriedade de que a informação foi produzida, expedida, modificada ou destruída por uma determinada pessoa física, ou por um determinado sistema, órgão ou entidade;
VII - Contêineres dos Ativos de Informação: o contêiner é o local onde está contido o ativo de informação, onde está armazenado, como é transportado ou processado;
VIII - Custodiante: refere-se a qualquer indivíduo ou estrutura da UFFS que tenha a responsabilidade formal sobre um ou mais ativos de informação, como é acessado, armazenado, transportado e processado;
IX - Disponibilidade: propriedade de que a informação esteja acessível e utilizável sob demanda por uma pessoa física ou determinado sistema, órgão ou entidade;
X - Gestão de riscos de segurança da informação e comunicações: conjunto de processos que permite identificar e implementar as medidas de proteção necessárias para minimizar ou eliminar os riscos a que estão sujeitos os seus ativos de informação, e equilibrá-los com os custos operacionais e financeiros envolvidos;
XI - Integridade: propriedade de que a informação não foi modificada ou destruída de maneira não autorizada ou acidental;
XII - Necessidade de conhecer: condição pessoal, inerente ao efetivo exercício de cargo, função, emprego ou atividade, indispensável para o usuário ter acesso à informação, especialmente se for sigilosa, bem como o acesso aos ativos de informação;
XIII - Proprietário ou Gestor do ativo de informação: refere-a a parte interessada, indivíduo legalmente instituído por sua posição e/ou cargo, o qual é responsável pela viabilidade e sobrevivência dos ativos de informação; e
XIV - Segurança da informação e comunicações: ações que objetivam viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações.
CAPÍTULO II
DO INVENTÁRIO DE ATIVOS DE INFORMAÇÃO
Art. 2º O processo de Inventário e Mapeamento de Ativos de Informação visa prover à UFFS um entendimento comum, consistente e inequívoco de seus ativos de informação; a identificação clara de seu(s) responsável(eis) - proprietário(s) e custodiante(s); um conjunto de informações sobre os requisitos de segurança da informação e comunicações; uma descrição do contêiner; e a identificação do valor que o ativo de informação representa para o negócio da UFFS.
Art. 3º O processo de Inventário e Mapeamento de Ativos de Informação adotará uma abordagem sistemática. De acordo com a Norma Complementar 10/IN01/DSIC/GSIPR, é composto, no mínimo, por 3 (três) subprocessos:
I - Identificação e classificação de ativos de informação;
II - Identificação de potenciais ameaças e vulnerabilidades; e
III - Avaliação de riscos.
Parágrafo único. O detalhamento de cada subprocesso e procedimento serão estabelecidos em metodologia complementar.
Art. 4º O Agente Responsável manterá um cadastro atualizado dos ativos de informação da UFFS.
Art. 5º A adição de novos ativos ao inventário deve ser realizada com aplicação de metodologia estabelecida considerando os impactos e os riscos aos ativos previamente inventariados.
Art. 6º Os ativos de informação com múltiplos proprietários e/ou custodiantes assumirão as atribuições estabelecidas em conjunto ou por representação.
CAPÍTULO III
DA GESTÃO DO INVENTÁRIO DE ATIVOS DE INFORMAÇÃO
Art. 7º Cabe à Administração Central da UFFS aprovar as diretrizes gerais e o processo de Inventário e Monitoramento de Ativos de Informação observada, dentre outros, a Política de Segurança da Informação e Comunicações, bem como a sua missão e os seus objetivos institucionais.
Art. 8º Cabe ao Comitê de Tecnologia da Informação e Comunicação a indicação de Agente Responsável.
Art. 8º Cabe ao Comitê de Governança Digital a indicação de Agente Responsável. (NOVA REDAÇÃO DADA PELA INSTRUÇÃO NORMATIVA Nº 12/SETI/UFFS/2020)
Art. 9º Cabe ao Agente Responsável, no mínimo, as seguintes atividades:
I - O processo de identificação e classificação de ativos de informação;
II - O monitoramento dos níveis de segurança dos ativos de informação junto aos proprietários e custodiantes dos ativos de informação; e
III - A elaboração sistemática de relatórios para os Gestores de Segurança da Informação e Comunicações.
Art. 10. Cabe ao Gestor do ativo de informação, em consonância com a Norma Complementar 10/IN01/DSIC/GSIPR, no mínimo, as seguintes atividades:
I - Descrever o ativo de informação;
II - Definir as exigências de segurança da informação e comunicações do ativo de informação;
III - Comunicar as exigências de segurança da informação e comunicações do ativo de informação a todos os custodiantes e usuários;
IV - Buscar assegurar-se de que as exigências de segurança da informação e comunicações estejam cumpridas por meio de monitoramento contínuo;
V - Indicar os riscos de segurança da informação e comunicações que podem afetar os ativos de informação;
VI - Buscar recursos, se necessários, para a escalabilidade e manutenção do ativo de informação; e
VII - Aprovar as autorizações, revogações de Acesso ao ativo de Informação, feitas pessoalmente via recurso tecnológico específico, se existir, ou delegadas ao custodiante.
Art. 11. Cabe ao custodiante do ativo de informação, em consonância com a Norma Complementar 10/IN01/DSIC/GSIPR, proteger os ativos de informação da UFFS, como é armazenado, transportado e processado, de forma a assegurar a disponibilidade, integridade, confidencialidade e autenticidade da informação , aplicando os controles de segurança e as exigências de segurança da informação comunicadas pelo gestor e em comum acordo com o Gestor de Segurança da Informação e Comunicações e a análise de riscos.
CAPÍTULO IV
DO ACESSO AOS ATIVOS DE INFORMAÇÃO
Art. 12. A identificação do interessado, bem como a autorização, a autenticação, o interesse do serviço e a necessidade de conhecer são condicionantes prévias para concessão de acesso aos ativos de informação da UFFS.
Art. 13. O acesso ao ativo de informação pressupõe autorização expressa do Gestor do Ativo de informação respeitando, sempre, o princípio do menor privilégio para configurar as credenciais ou contas de acesso dos interessados aos ativos de informação;
Paragrafo único: A concessão de acesso poderá ser realizada pelo gestor via recurso tecnológico específico, se existir, ou expressamente autorizadas ao custodiante.
CAPÍTULO V
DAS RESPONSABILIDADES
Art. 14. A responsabilidade pelos ativos de informação será estabelecida em metodologia complementar.
CAPÍTULO VI
DAS DISPOSIÇÕES FINAIS
Art. 15. Toda a documentação dos ativos de informação da UFFS deve ser classificada em grau de sigilo respeitando a legislação nacional e as normas institucionais vigentes.
Art. 16. Os casos omissos serão analisados pelo Comitê de Tecnologia da Informação e Comunicação.
Art. 16. Os casos omissos serão analisados pelo Comitê de Governança Digital. (NOVA REDAÇÃO DADA PELA INSTRUÇÃO NORMATIVA Nº 12/SETI/UFFS/2020)
Art. 17. Esta instrução normativa entra em vigor na data de sua publicação.
Data do ato: Chapecó-SC, 05 de dezembro de 2014.
Data de publicação: 13 de setembro de 2016.
Claunir Pavan
Secretário Especial de Tecnologia e Informação