Mudanças entre as edições de "Política de segurança de dados"

Este documento é parte integrante do Programa de Governança de Dados da Prefeitura do Recife.

A segurança de dados é o conjunto de todas as práticas e processos que estão em vigor para garantir que os dados não sejam usados, acessados, alterados ou removidos por pessoas ou partes não autorizadas.

Visa proteger e garantir os três princípios da segurança da informação – confidencialidade, integridade e disponibilidade, assegurando que os dados sejam precisos e confiáveis e estejam disponíveis quando aqueles com acesso autorizado precisarem.

1. Esta Política se refere a todas as informações, dados, sistemas, tecnologia e recursos coletivamente, referenciados aqui por “Recursos de Informação”.
2. Servidores, funcionários e contratados do poder executivo de Recife e de todos os órgãos, conselhos e comissões municipais eventualmente no desempenho de suas funções têm acesso a informações e sistemas, tecnologia e outros recursos de informação, incluindo hardware, software e acesso à rede de computadores de propriedade da Prefeitura do Recife. Todo esse pessoal é referido como "Usuário" nesta política.
3. Como administradores de recursos de TI, cada um dos usuários é responsável por proteger esses recursos.
4. Todas as informações confidenciais, sigilosas, pessoais e sensíveis devem ser protegidas contra acesso não autorizado, uso, modificação ou destruição.
5. Todos os Usuários compartilham a responsabilidade de proteger a confidencialidade e segurança dos dados.
Papéis e Responsabilidades
6. A Prefeitura deve estabelecer procedimentos e diretrizes referentes à coleta, armazenamento e uso de dados.
7. A Prefeitura deve dar conhecimento e exigir o cumprimento das Políticas de Governança de Dados à todos os Usuários.
8. Todo acesso a Recursos de Informação deve primeiro ser autorizados pela equipe designada do órgão ou entidade.
9. Os acessos aos Recursos de Informação devem ser concedidos apenas o necessário para o cumprimento das tarefas solicitadas e autorizadas pelo Usuário.
10. Os usuários podem acessar, usar ou compartilhar Recursos de Informação apenas na medida necessária para cumprir as tarefas atribuídas.
11. Todos os Recursos de Informação devem ser manuseados com o devido cuidado e confidencialidade.
16. Os usuários que criam, recebem, processam, editam, armazenam, distribuem ou destroem dados que são confidenciais, sensíveis por natureza e/ou regidos por leis, regras ou regulamentações federais, estaduais e municipais devem compreender suas responsabilidades para proteger tais informações.
17. É permitido o uso pessoal limitado e razoável de Recursos de Informação da Prefeitura, de acordo com esta Política. Os usuários devem estar cientes de que todo uso pode ser monitorado e não há expectativa razoável de privacidade no uso destes recursos.
18. Cada usuário deve evitar todas as atividades que comprometam a segurança, o desempenho ou a integridade dos Recursos de Informação ou que afetem negativamente outros usuários.
Plano de Segurança
19. O Subcomitê de Segurança de Dados, em colaboração com o Escritório de Governança de Dados, EMPREL e Autoridades de Dados, deve desenvolver um plano de segurança que:
    1. seja consistente com a Arquitetura de Dados [link];
    2. defina explicitamente o limite de autorização dos sistemas;
    3. descreva o contexto operacional da Plataforma de Dados [link] em termos de missões e processos de negócio;
    4. forneça a categorização de segurança dos ativos de dados, incluindo a justificativa de suporte;
    5. forneça uma visão geral dos requisitos de segurança de dados;
    6. descreva os controles de segurança implementados ou planejados para atender a esses requisitos, incluindo uma justificativa para as decisões de adaptação.
20. O plano de segurança de dados, bem como todos os procedimentos e padrões de segurança, devem ser registrados no repositório institucional de artefatos de Governança de Dados [link]. O repositório permitirá que usuários autorizados localizem, gerenciem e usem estes artefatos.
21. O plano de segurança deve ser revisado em uma frequência definida com base no risco
22. O plano de segurança também deve ser atualizado para abordar as mudanças para:
    1. arquitetura de dados;
    2. plataforma de dados;
    3. problemas identificados durante a implementação do plano; e
    4. avaliações de controle de segurança.

Violação de Segurança

23. Conforme estabelecido acima, os usuários e responsáveis pela segurança de dados devem relatar qualquer violação de segurança conhecida ou qualquer incidente que possa causar uma violação de segurança.
24. Violações de segurança incluem, mas não se limitam a:
    1. tentativas de obter acesso não autorizado a um sistema ou seus dados;
    2. uma interrupção indesejada ou negação de serviço;
    3. descoberta de invasões de rede;
    4. eventos de malware;
    5. O uso não autorizado de um sistema de processamento ou armazenamento de dados;
    6. alterações nas características de hardware, firmware ou software do sistema sem o conhecimento, instrução ou consentimento do proprietário;
    7. uma mudança não planejada, não autorizada ou inesperada nas linhas de base de segurança, incluindo uma mudança não autorizada nos controles, tecnologias ou processos de segurança;
    8. a liberação inadequada de informações de identificação pessoal ou outras informações confidenciais;
    9. roubo ou perda de equipamento de tecnologia da informação (TI) que pode conter informações não públicas; e
    10. uma violação das políticas de segurança da informação.
25. Uma capacidade de tratamento de violação de segurança de dados será desenvolvida e mantida pelo Subcomitê de Segurança de Dados que inclui processos de preparação, detecção e análise, contenção, erradicação e recuperação.
26. O Subcomitê de Segurança de Dados deve desenvolver e manter um Plano de Resposta a Violações de Segurança de Dados [link], procedimentos e diretrizes que:
    1. forneça ao Conselho de Governança de Dados um roteiro para a implementação de sua capacidade de resposta a incidentes;
    2. descreva a estrutura e organização da capacidade de resposta a incidentes;
    3. forneça uma abordagem de alto nível para a capacidade de resposta a incidentes;
    4. defina incidentes relatáveis;
    5. forneça métricas para medir a capacidade de resposta a incidentes;
    6. defina os recursos e o suporte de gerenciamento necessários para manter e amadurecer com eficácia uma capacidade de resposta a incidentes.
27. Imediatamente ao tomar conhecimento de uma provável violação de segurança, a Autoridade de Dados notificará o Escritório de Governança de Dados e o Subcomitê de Segurança de Dados. Estes órgãos e a auditoria interna devem conduzir uma investigação compatível com a natureza da violação.
28. A Prefeitura deve estabelecer uma Comissão Disciplinar de Segurança de Dados [link], de caráter permanente, com natureza consultiva e julgadora, competente para averiguar questões referentes a possíveis irregularidades relacionadas a proteção e segurança de dados. Esta Comissão poderá executar medidas disciplinares cabíveis contra um funcionário, tomadas em resposta a uma violação desta política.
29. Se o evento envolver um assunto criminal, os órgãos de justiças cabíveis devem ser notificados. A Controladoria do Município determinará e coordenará as ações de mitigação e investigação de acordo com as leis vigentes e cabíveis.
30. O Subcomitê de Segurança de Dados e órgãos de auditoria interna devem investigar e revisar o incidente com o(s) departamento(s) diretamente afetado(s) pelo incidente. O resultado do processo de investigação deve ser documentado em um relatório formal que será distribuído a todas as partes interessadas e cabíveis.
Gestão de Riscos
31. O Subcomitê de Segurança de Dados, em colaboração com o Escritório de Governança de Dados, EMPREL e Autoridades de Dados, em consulta a Custodiantes de Dados, deve conduzir uma avaliação de risco, incluindo a probabilidade e magnitude do dano, do acesso não autorizado, uso, divulgação, interrupção, modificação ou destruição de ativos de dados e outros Recursos de Informação.
32. O Subcomitê de Segurança de Dados fica desobrigado de obter autorização para verificar vulnerabilidades nos Recursos de Informação.
33. O Subcomitê de Segurança de Dados deve empregar ferramentas e técnicas de varredura de vulnerabilidade que facilitem a interoperabilidade entre as ferramentas e automatizem partes do processo de gerenciamento de vulnerabilidade usando padrões para:
    1. enumerar plataformas, falhas de software e configurações inadequadas;
    2. formatação de listas de verificação e procedimentos de teste;
    3. medir o impacto da vulnerabilidade;
    4. avaliar os controles de segurança para determinar até que ponto os controles são implementados corretamente, operando como pretendido e produzindo o resultado desejado com relação ao cumprimento dos requisitos de segurança estabelecidos.
34. O Subcomitê de Segurança de Dados deve documentar os resultados da avaliação de risco e preparar um relatório de avaliação de risco.
35. O Subcomitê de Segurança de Dados deve revisar os resultados da avaliação de risco.
36. Cada órgão e entidade deverá corrigir vulnerabilidades legítimas de acordo com uma avaliação de risco realizada pelo Subcomitê de Segurança de Dados.
37. O Subcomitê de Segurança de Dados deve atualizar a avaliação de risco sempre que houver mudanças significativas na Plataforma de Dados ou ambiente de operação (incluindo a identificação de novas ameaças e vulnerabilidades) ou outras condições que podem afetar o estado de segurança dos Recursos de Informação, Sistema de Contas e Senha.
38. O acesso aos recursos e serviços de TI da Prefeitura será concedido por meio do fornecimento de uma conta de usuário única e senha forte e complexa. As contas devem ser fornecidas pelo departamento ou empresa que presta serviço de TI para Prefeitura.
39. A Prefeitura deve estabelecer padrões e/ou procedimentos para criar, habilitar, modificar, desabilitar e remover contas de usuário.
40. Cada departamento deve identificar os tipos de conta dos recursos de informação para apoiar sua missão e funções operacionais. Os tipos de conta podem incluir, mas não estão limitados a contas de grupo, sistema, aplicativo, convidado/anônimo, emergência e temporário.
41. Cada órgão ou entidade deve especificar os atributos necessários para usuários autorizados, grupo e associação de função e autorizações de acesso.
42. Cada órgão ou entidade deve ter a capacidade técnica para garantir o acesso lógico às informações e aos recursos do sistema de acordo com as regras e políticas de controle de acesso.
43. Os usuários devem ser identificados por um Identificador (ID) de usuário exclusivo para que os indivíduos possam ser responsabilizados por suas ações.
44. O uso de identidades compartilhadas é permitido apenas onde elas são adequadas, como contas de treinamento ou contas de serviço.
45. Os registros de acesso do usuário podem ser usados para fornecer evidências para investigações de incidentes de segurança.
46. O acesso deve ser concedido com base no princípio do menor privilégio, o que significa que cada programa e usuário receberá o menor número de privilégios necessários para concluir suas tarefas.
Contingenciamento e Recuperação
47. O Subcomitê de Segurança de Dados, em colaboração com o Escritório de Governança de Dados, EMPREL, deve estabelecer medidas e procedimentos de planejamento de contingência de dados. O planejamento de contingência ajuda a executar uma resposta coerente, organizada, planejada e estratégica às emergências relacionadas a falhas na Plataforma de Dados e outros eventos que impactem na disponibilidade dos dados.
48. Os planos de contingência devem:
    1. identificar missões essenciais e funções operacionais e requisitos de contingência associados;
    2. fornecer objetivos de recuperação e prioridades de restauração;
    3. abordar funções de contingência, responsabilidades e informações de contato de indivíduos designados, bem como delegações de autoridade, ordens de sucessão e procedimentos de notificação;
    4. abordar a restauração eventual e completa da plataforma, sem deterioração das salvaguardas de segurança originalmente planejadas e implementadas.
49. Devem ser estabelecidos locais de armazenamento alternativo, incluindo os acordos necessários para permitir o armazenamento e recuperação das informações de backup. Estes locais de armazenamento alternativo devem estar sob proteção de salvaguardas de segurança da informação equivalentes às do local principal.
50. Devem ser estabelecidos também locais de processamento alternativo, incluindo os acordos necessários para permitir a retomada das operações dos Recursos de Informação para missões essenciais e funções operacionais da Prefeitura dentro de um período de tempo definido consistente com os objetivos de tempo de recuperação quando os recursos de processamento primário não estiverem disponíveis.
51. A Prefeitura deve garantir que os equipamentos e suprimentos necessários para retomar as operações estejam disponíveis no local alternativo para apoiar a entrega a tempo de suportar o período de tempo definido para a retomada.
52. Custodiantes de Dados devem conduzir backups periódicos das informações dentro de uma frequência definida consistente com o tempo de recuperação e os objetivos do ponto de recuperação O backup também deve ser protegido em termos de confidencialidade e integridade das informações.
53. Devem ser testadas as informações de backup dentro de uma frequência definida para verificar a confiabilidade da mídia e integridade da informação.
Treinamento
54. O Subcomitê de Segurança deve desenvolver, implementar e atualizar uma estratégia abrangente de treinamento e conscientização destinada a garantir que os servidores, funcionários e contratados entendam as responsabilidades e procedimentos de segurança de dados.
55. Cada órgão ou entidade deve administrar treinamento básico de segurança de dados anualmente.
56. Cada órgão ou entidade deve administrar o treinamento adicional baseado em funções, conforme exigido pelas diretrizes federais, estaduais e locais.