Mudanças entre as edições de "Política de segurança de dados"
| Linha 2: | Linha 2: | ||
# Esta Política se aplica:<br> i. aos órgãos públicos integrantes da Administração direta do Poder Executivo Municipal.<br> ii. às autarquias, às fundações públicas, às empresas públicas, às sociedades de economia mista e às entidades controladas, direta ou indiretamente, pelo Município do Recife e vinculadas ao Poder Executivo Municipal.<br> iii. às instituições que recebam recursos públicos diretamente do orçamento ou mediante subvenções sociais, contrato de gestão, termo de parceria, convênios, acordo, ajustes ou outros instrumentos congêneres, publicidade limitada à parcela dos recursos públicos oriundos do Município do Recife. | # Esta Política se aplica:<br> i. aos órgãos públicos integrantes da Administração direta do Poder Executivo Municipal.<br> ii. às autarquias, às fundações públicas, às empresas públicas, às sociedades de economia mista e às entidades controladas, direta ou indiretamente, pelo Município do Recife e vinculadas ao Poder Executivo Municipal.<br> iii. às instituições que recebam recursos públicos diretamente do orçamento ou mediante subvenções sociais, contrato de gestão, termo de parceria, convênios, acordo, ajustes ou outros instrumentos congêneres, publicidade limitada à parcela dos recursos públicos oriundos do Município do Recife. | ||
# Servidores, funcionários e contratados do poder executivo de Recife e de todos os órgãos, conselhos e comissões municipais eventualmente no desempenho de suas funções têm acesso a informações e sistemas, tecnologia e outros recursos de informação, incluindo hardware, software e acesso à rede de computadores de propriedade da Prefeitura do Recife Todo esse pessoal é referido como um " ou " nesta política. | # Servidores, funcionários e contratados do poder executivo de Recife e de todos os órgãos, conselhos e comissões municipais eventualmente no desempenho de suas funções têm acesso a informações e sistemas, tecnologia e outros recursos de informação, incluindo hardware, software e acesso à rede de computadores de propriedade da Prefeitura do Recife Todo esse pessoal é referido como um " ou " nesta política. | ||
# Todas as informações confidenciais, sigilosas, pessoais e sensíveis devem ser protegidas contra acesso não autorizado, uso, modificação ou destruição Todos os usuários compartilham a responsabilidade de proteger a confidencialidade e segurança dos dados.<br> | # Todas as informações confidenciais, sigilosas, pessoais e sensíveis devem ser protegidas contra acesso não autorizado, uso, modificação ou destruição Todos os usuários compartilham a responsabilidade de proteger a confidencialidade e segurança dos dados.<br>'''Papéis e Responsabilidades''' | ||
'''Papéis e Responsabilidades''' | |||
# A Prefeitura deve estabelecer um Subcomitê de Segurança de Dados para auxiliar no desenvolvimento de procedimentos e diretrizes referentes à coleta, armazenamento e uso de dados e para auxiliar o Escritório de Governança de Dados na implementação desta política. | # A Prefeitura deve estabelecer um Subcomitê de Segurança de Dados para auxiliar no desenvolvimento de procedimentos e diretrizes referentes à coleta, armazenamento e uso de dados e para auxiliar o Escritório de Governança de Dados na implementação desta política. | ||
# Em consulta com o Escritório de Governança de Dados, Conselho de Governança de Dados e EMPREL, compete ao Subcomitê de Segurança de Dados.<br> i. formular procedimentos e diretrizes para toda a Prefeitura relativos à coleta, | # Em consulta com o Escritório de Governança de Dados, Conselho de Governança de Dados e EMPREL, compete ao Subcomitê de Segurança de Dados.<br> i. formular procedimentos e diretrizes para toda a Prefeitura relativos à coleta, | ||
Edição das 22h40min de 17 de julho de 2021
- Esta Política se refere a todas as informações, dados, sistemas, tecnologia e recursos coletivamente chamados como “Recursos de Informação” Como administradores de recursos de TI, cada um dos usuários é responsável por proteger esses recursos.
- Esta Política se aplica:
i. aos órgãos públicos integrantes da Administração direta do Poder Executivo Municipal.
ii. às autarquias, às fundações públicas, às empresas públicas, às sociedades de economia mista e às entidades controladas, direta ou indiretamente, pelo Município do Recife e vinculadas ao Poder Executivo Municipal.
iii. às instituições que recebam recursos públicos diretamente do orçamento ou mediante subvenções sociais, contrato de gestão, termo de parceria, convênios, acordo, ajustes ou outros instrumentos congêneres, publicidade limitada à parcela dos recursos públicos oriundos do Município do Recife. - Servidores, funcionários e contratados do poder executivo de Recife e de todos os órgãos, conselhos e comissões municipais eventualmente no desempenho de suas funções têm acesso a informações e sistemas, tecnologia e outros recursos de informação, incluindo hardware, software e acesso à rede de computadores de propriedade da Prefeitura do Recife Todo esse pessoal é referido como um " ou " nesta política.
- Todas as informações confidenciais, sigilosas, pessoais e sensíveis devem ser protegidas contra acesso não autorizado, uso, modificação ou destruição Todos os usuários compartilham a responsabilidade de proteger a confidencialidade e segurança dos dados.
Papéis e Responsabilidades - A Prefeitura deve estabelecer um Subcomitê de Segurança de Dados para auxiliar no desenvolvimento de procedimentos e diretrizes referentes à coleta, armazenamento e uso de dados e para auxiliar o Escritório de Governança de Dados na implementação desta política.
- Em consulta com o Escritório de Governança de Dados, Conselho de Governança de Dados e EMPREL, compete ao Subcomitê de Segurança de Dados.
i. formular procedimentos e diretrizes para toda a Prefeitura relativos à coleta,
armazenamento, uso e guarda de dados.
ii. atualizar conforme necessário esta política.
iii. tomar medidas para garantir o cumprimento desta política, o que pode incluir, sem limitação, o comissionamento de auditorias internas e investigações.
iv. tomar medidas em resposta a violações desta política ou qualquer violação de segurança.
v. monitorar a legislação federal, estadual e local sobre privacidade e segurança de dados.
vi.
manter se atualizado e informado das melhores práticas em evolução em segurança de dados e privacidade.
vii. estabelecer programas de treinamento e conscientização sobre privacidade e segurança de dados.
- Os Custodiantes de Dados serão responsáveis por apoiar a implementação e monitoramento de medidas de segurança associadas à gestão de Recursos de Informação
- Compete aos Custodiantes de Dados
i. auxiliar na definição de requisitos de segurança e preservação de dados; ii. monitorar a segurança e preservação de dados iii. implementar, manter e aprimorar mecanismos de segurança e preservação de dados iv. apoiar partes interessadas para resolver problemas de segurança e preservação de dados v. auxiliar na condução de processos de auditoria de dados e análise e controle de riscos vi. recomendar práticas e ferramentas de segurança e preservação de dados vii. reportar problemas de segurança e preservação de dados viii. promover segurança e preservação de dados ix. monitorar os riscos à segurança de dados e relatar quaisquer riscos conhecidos ou razoavelmente previsíveis ao Comitê de Segurança de Dados 9. Os Usuários, como definido nesta política, são responsáveis por cumprir todos os procedimentos relacionados à segurança relativos a qualquer Recurso de Informação ao qual tenham acesso autorizado ou qualquer informação derivada dele que possuam Especificamente um usuário é responsável por i. f amiliarizar se e cumprir todas as políticas relevantes da Prefeitura, incluindo, sem limitação, esta política e todas as diretivas de segurança de dados e outras políticas e legislação vigente relacionadas à proteção de dados, uso de tecnologia e direitos de privacidade iii. fornecimento de segurança física adequada para equipamentos de tecnologia da informação, mídia de armazenamento e dados físicos Esses equipamentos e arquivos não devem ser deixados sem supervisão sem serem bloqueados ou protegidos de outra forma, de modo que usuários não autorizados não possam obter acesso físico aos dados ou ao(s) dispositivo(s) que os armazenam iv. garantir que as informações confidenciais, sigilosas, pessoais e sensíveis não sejam distribuídas ou acessíveis a pessoas não autorizadas Os usuários não devem compartilhar suas senhas de autorização em nenhuma circunstância Os usuários devem se valer de quaisquer medidas de segurança, como tecnologia de criptografia, atualizações ou patches de segurança v. notificar imediatamente sua Autoridade de Dados quando ciente de qualquer incidente que possa causar uma quebra de segurança ou violação desta política 10. Funcionários, fornecedores, parceiros e outras agências governamentais devem primeiro ser autorizados pela equipe designada do órgão ou entidade antes de acessar Recursos de Informação 11. Os usuários podem acessar, usar ou compartilhar Recursos de Informação apenas na medida necessária para cumprir as tarefas atribuídas Todos os Recursos de Informação devem ser manuseados com o devido cuidado e confidencialidade Os usuários que criam, recebem, processam, editam, armazenam, distribuem ou destroem dados que são confidenciais, sensíveis por natureza e/ou regidos por leis, regras ou regulamentações federais, estaduais e municipais devem compreender suas responsabilidades para proteger tais informações 12. É permitido o uso pessoal limitado e razoável de Recursos de Informação da Prefeitura, de acordo com esta Política Os usuários devem estar cientes de que todo uso pode ser monitorado e não há expectativa razoável de privacidade no uso destes recursos 13. Cada usuário deve evitar todas as atividades que comprometam a segurança, o desempenho ou a integridade dos Recursos de Informação ou que afetem negativamente outros usuários Plano de Segurança 14. O Subcomitê de Segurança de Dados, em colaboração com o Escritório de Governança de Dados, EMPREL e Autoridades de Dados, deve desenvolver um plano de segurança que i. seja consistente com a Arquitetura de Dados ii. defina explicitamente o limite de autorização dos sistemas iii. descreva o contexto operacional da Plataforma de Dados em termos de missões e processos de negócio iv. forneça a categorização de segurança dos ativos de dados, incluindo a justificativa de suporte v. forneça uma visão geral dos requisitos de segurança de dados vi. descreva os controles de segurança implementados ou planejados para atender a esses requisitos, incluindo uma justificativa para as decisões de adaptação 15. O plano de segurança de dados, bem como todos os procedimentos e padrões de segurança, devem ser registrados no repositório institucional de artefatos de Governança de Dados O repositório permitirá que usuários autorizados localizem, gerenciem e usem estes artefatos 16. O plano de segurança deve ser revisado em uma frequência definida com base no risco 17. O plano de segurança também deve ser atualizado para abordar as mudanças para i. arquitetura de dados ii. plataforma de dados iii. problemas identificados durante a implementação do plano e iv. avaliações de controle de segurança Violação de Segurança 18. Conforme estabelecido acima, os usuários e responsáveis pela segurança de dados devem relatar qualquer violação de segurança conhecida ou qualquer incidente que possa causar uma violação de segurança 19. Violações de segurança incluem, mas não se limitam a i. tentativas (com falha ou bem sucedidas) de obter acesso não autorizado a um sistema ou seus dados ii. uma interrupção indesejada ou negação de serviço iii. descoberta de invasões de rede iv. eventos de malware v. O uso não autorizado de um sistema de processamento ou armazenamento de dados vi. alterações nas características de hardware, firmware ou software do sistema sem o conhecimento, instrução ou consentimento do proprietário vii. uma mudança não planejada, não autorizada ou inesperada nas linhas de base de segurança, incluindo uma mudança não autorizada nos controles, tecnologias ou processos de segurança viii. a liberação inadequada de informações de identificação pessoal ou outras informações confidenciais ix. roubo ou perda de equipamento de tecnologia da informação ( que pode conter informações não públicas e x. uma violação das políticas de segurança da informação 20. Uma capacidade de tratamento de violação de segurança de dados será desenvolvida e mantida pelo Subcomitê de Segurança de Dados que inclui processos de preparação, detecção e análise, contenção, erradicação e recuperação 21. O Subcomitê de Segurança de Dados deve desenvolver e manter um Plano de Resposta a Violações de Segurança de Dados, procedimentos e diretrizes que i. forneça ao Conselho de Governança de Dados um roteiro para a implementação de sua capacidade de resposta a incidentes ii. descreva a estrutura e organização da capacidade de resposta a incidentes iii. forneça uma abordagem de alto nível para a capacidade de resposta a incidentes iv. defina incidentes relatáveis v. forneça métricas para medir a capacidade de resposta a incidentes vi. defina os recursos e o suporte de gerenciamento necessários para manter e amadurecer com eficácia uma capacidade de resposta a incidentes 22. Imediatamente ao tomar conhecimento de uma provável violação de segurança, a Autoridade de Dados notificará o Escritório de Governança de Dados e o Subcomitê de Segurança de Dados Estes órgãos e a auditoria interna devem conduzir uma investigação compatível com a natureza da violação 23. A Prefeitura deve estabelecer uma Comissão Disciplinar de Segurança de Dados, de caráter permanente, com natureza consultiva e julgadora, competente para averiguar questões referentes a possíveis irregularidades relacionadas a proteção e segurança de dados Esta Comissão poderá executar medidas disciplinares cabíveis contra um funcionário, tomadas em resposta a uma violação desta política 24. Se o evento envolver um assunto criminal, os órgãos de justiças cabíveis devem ser notificados A Controladoria do Município determinará e coordenará as ações de mitigação e investigação de acordo com as leis vigentes e cabíveis 25. O Subcomitê de Segurança de Dados e órgãos de auditoria interna devem investigar e revisar o incidente com o(s) departamento(s) diretamente afetado(s) pelo incidente O resultado do processo de investigação deve ser documentado em um relatório formal que será distribuído a todas as partes interessadas e cabíveis Gestão de Riscos 26. O Subcomitê de Segurança de Dados, em colaboração com o Escritório de Governança de Dados, EMPREL e Autoridades de Dados, em consulta a Custodiantes de Dados, deve conduzir uma avaliação de risco, incluindo a probabilidade e magnitude do dano, do acesso não autorizado, uso, divulgação, interrupção, modificação ou destruição de ativos de dados e outros Recursos de Informação 27. O Subcomitê de Segurança de Dados fica desobrigado de obter autorização para verificar vulnerabilidades nos Recursos de Informação 28. O Subcomitê de Segurança de Dados deve empregar ferramentas e técnicas de varredura de vulnerabilidade que facilitem a interoperabilidade entre as ferramentas e automatizem partes do processo de gerenciamento de vulnerabilidade usando padrões para i. enumerar plataformas, falhas de software e configurações inadequadas ii. formatação de listas de verificação e procedimentos de teste iii. medir o impacto da vulnerabilidade iv. avaliar os controles de segurança para determinar até que ponto os controles são implementados corretamente, operando como pretendido e produzindo o resultado desejado com relação ao cumprimento dos requisitos de segurança estabelecidos 29. O Subcomitê de Segurança de Dados deve documentar os resultados da avaliação de risco e preparar um relatório de avaliação de risco 30. O Subcomitê de Segurança de Dados deve revisar os resultados da avaliação de risco 31. Cada órgão e entidade deverá corrigir vulnerabilidades legítimas de acordo com uma avaliação de risco realizada pelo Subcomitê de Segurança de Dados 32. O Subcomitê de Segurança de Dados deve atualizar a avaliação de risco sempre que houver mudanças significativas na Plataforma de Dados ou ambiente de operação (incluindo a identificação de novas ameaças e vulnerabilidades) ou outras condições que podem afetar o estado de segurança dos Recursos de Informação Sistema de Contas e Senha 33. O acesso aos recursos e serviços de TI da Prefeitura será concedido por meio do fornecimento de uma conta de usuário única e senha complexa As contas devem ser fornecidas pelo departamento ou empresa que presta serviço de TI para Prefeitura 34. A Prefeitura deve estabelecer padrões e/ou procedimentos para criar, habilitar, modificar, desabilitar e remover contas de usuário 35. Cada departamento deve identificar os tipos de conta dos recursos de informação para apoiar sua missão e funções operacionais Os tipos de conta podem incluir, mas não estão limitados a contas de grupo, sistema, aplicativo, convidado/anônimo, emergência e temporário 36. Cada órgão ou entidade deve especificar os atributos necessários para usuários autorizados, grupo e associação de função e autorizações de acesso 37. Cada órgão ou entidade deve ter a capacidade técnica para garantir o acesso lógico às informações e aos recursos do sistema de acordo com as regras e políticas de controle de acesso 38. Os usuários devem ser identificados por um Identificador ( de usuário exclusivo para que os indivíduos possam ser responsabilizados por suas ações 39. O uso de identidades compartilhadas é permitido apenas onde elas são adequadas, como contas de treinamento ou contas de serviço 40. Os registros de acesso do usuário podem ser usados para fornecer evidências para investigações de incidentes de segurança 41. O acesso deve ser concedido com base no princípio do menor privilégio, o que significa que cada programa e usuário receberá o menor número de privilégios necessários para concluir suas tarefas Contingenciamento e Recuperação 42. O Subcomitê de Segurança de Dados, em colaboração com o Escritório de Governança de Dados, EMPREL, deve estabelecer medidas e procedimentos de planejamento de contingência de dados O planejamento de contingência ajuda a executar uma resposta coerente, organizada, planejada e estratégica às emergências relacionadas a falhas na Plataforma de Dados e outros eventos que impactem na disponibilidade dos dados 43. Os planos de contingência devem i. identificar missões essenciais e funções operacionais e requisitos de contingência associados ii. fornecer objetivos de recuperação e prioridades de restauração iii. abordar funções de contingência, responsabilidades e informações de contato de indivíduos designados, bem como delegações de autoridade, ordens de sucessão e procedimentos de notificação iv. abordar a restauração eventual e completa da plataforma, sem deterioração das salvaguardas de segurança originalmente planejadas e implementadas 44. Devem ser estabelecidos locais de armazenamento alternativo, incluindo os acordos necessários para permitir o armazenamento e recuperação das informações de backup Estes locais de armazenamento alternativo devem estar sob proteção de salvaguardas de segurança da informação equivalentes às do local principal 45. Devem ser estabelecidos também locais de processamento alternativo, incluindo os acordos necessários para permitir a retomada das operações dos Recursos de Informação para missões essenciais e funções operacionais da Prefeitura dentro de um período de tempo definido consistente com os objetivos de tempo de recuperação quando os recursos de processamento primário não estiverem disponíveis 46. A Prefeitura deve garantir que os equipamentos e suprimentos necessários para retomar as operações estejam disponíveis no local alternativo para apoiar a entrega a tempo de suportar o período de tempo definido para a retomada 47. Custodiantes de Dados devem conduzir backups periódicos das informações dentro de uma frequência definida consistente com o tempo de recuperação e os objetivos do ponto de recuperação O backup também deve ser protegido em termos de confidencialidade e integridade das informações 48. Devem ser testadas as informações de backup dentro de uma frequência definida para verificar a confiabilidade da mídia e integridade da informação Treinamento 49. O Subcomitê de Segurança deve desenvolver, implementar e atualizar uma estratégia abrangente de treinamento e conscientização destinada a garantir que os servidores, funcionários e contratados entendam as responsabilidades e procedimentos de segurança de dados 50. Cada órgão ou entidade deve administrar treinamento básico de segurança de dados anualmente 51. Cada órgão ou entidade deve administrar o treinamento adicional baseado em funções, conforme exigido pelas diretrizes federais, estaduais e locais
