Mudanças entre as edições de "Política de segurança de dados"

De Wiki Recife
 
(10 revisões intermediárias por 2 usuários não estão sendo mostradas)
Linha 1: Linha 1:
# Esta Política se refere a todas as informações, dados, sistemas, tecnologia e recursos coletivamente chamados como “Recursos de Informação” Como administradores de recursos de TI, cada um dos usuários é responsável por proteger esses recursos.
{{DGF}}
# Esta Política se aplica:
 
## aos órgãos públicos integrantes da Administração direta do Poder Executivo Municipal.
{{APLICABILIDADE_POLITICA}}
## às autarquias, às fundações públicas, às empresas públicas, às sociedades de economia mista e às entidades controladas, direta ou indiretamente, pelo Município do Recife e vinculadas ao Poder Executivo Municipal.
 
## às instituições que recebam recursos públicos diretamente do orçamento ou mediante subvenções sociais, contrato de gestão, termo de parceria, convênios, acordo, ajustes ou outros instrumentos congêneres, publicidade limitada à parcela dos recursos públicos oriundos do Município do Recife.
<infobox>
# Servidores, funcionários e contratados do poder executivo de Recife e de todos os órgãos, conselhos e comissões municipais eventualmente no desempenho de suas funções têm acesso a informações e sistemas, tecnologia e outros recursos de informação, incluindo hardware, software e acesso à rede de computadores de propriedade da Prefeitura do Recife Todo esse pessoal é referido como um " ou " nesta política.
<group layout="horizontal" row-items="3">
# Todas as informações confidenciais, sigilosas, pessoais e sensíveis devem ser protegidas contra acesso não autorizado, uso, modificação ou destruição Todos os usuários compartilham a responsabilidade de proteger a confidencialidade e segurança dos dados.<br>
<header>Revisão</header>
#'''Papéis e Responsabilidades'''<br> A Prefeitura deve estabelecer um Subcomitê de Segurança de Dados para auxiliar no desenvolvimento de procedimentos e diretrizes referentes à coleta, armazenamento e uso de dados e para auxiliar o Escritório de Governança de Dados na implementação desta política.
<data><label>Versão</label><default>1.0</default></data>
# Em consulta com o Escritório de Governança de Dados, Conselho de Governança de Dados e EMPREL, compete ao Subcomitê de Segurança de Dados.
<data><label>Data</label><default>19/08/2021</default></data>
## formular procedimentos e diretrizes para toda a Prefeitura relativos à coleta, armazenamento, uso e guarda de dados.
<data span="2"><label>Vigência</label><default>Atual</default></data>
## atualizar conforme necessário esta política.
</group>
## tomar medidas para garantir o cumprimento desta política, o que pode incluir, sem limitação, o comissionamento de auditorias internas e investigações.
<group collapse="closed">
## tomar medidas em resposta a violações desta política ou qualquer violação de segurança.
</group>
## monitorar a legislação federal, estadual e local sobre privacidade e segurança de dados.
</infobox>
## manter se atualizado e informado das melhores práticas em evolução em segurança de dados e privacidade.
 
## estabelecer programas de treinamento e conscientização sobre privacidade e segurança de dados.
<p>A segurança de dados é o conjunto de todas as práticas e processos que estão em vigor para garantir que os dados não sejam usados, acessados, alterados ou removidos por pessoas ou partes não autorizadas.</p>
# Os Custodiantes de Dados serão responsáveis por apoiar a implementação e monitoramento de medidas de segurança associadas à gestão de Recursos de Informação
<p>Visa proteger e garantir os três princípios da segurança da informação – '''confidencialidade''', '''integridade''' e '''disponibilidade''', assegurando que os dados sejam precisos e confiáveis e estejam disponíveis quando aqueles com acesso autorizado precisarem.</p>
# Compete aos Custodiantes de Dados:
 
## auxiliar na definição de requisitos de segurança e preservação de dados;
<ol type="1">
## monitorar a segurança e preservação de dados;
<li> Esta Política se refere a todas as informações, dados, sistemas, tecnologia e recursos coletivamente, referenciados aqui por “'''Recursos de Informação'''”. </li>
## implementar, manter e aprimorar mecanismos de segurança e preservação de dados;
<li> Servidores, funcionários e contratados do poder executivo de Recife e de todos os órgãos, conselhos e comissões municipais eventualmente no desempenho de suas funções têm acesso a informações e sistemas, tecnologia e outros recursos de informação, incluindo hardware, software e acesso à rede de computadores de propriedade da Prefeitura do Recife. Todo esse pessoal é referido como "'''Usuário'''" nesta política.</li>
## apoiar partes interessadas para resolver problemas de segurança e preservação de dados;
<li> Como administradores de recursos de TI, cada um dos usuários é responsável por proteger esses recursos.
## auxiliar na condução de processos de auditoria de dados e análise e controle de riscos;
</li>
## recomendar práticas e ferramentas de segurança e preservação de dados;
<li> Todas as informações confidenciais, sigilosas, pessoais e sensíveis devem ser protegidas contra acesso não autorizado, uso, modificação ou destruição.</li>
## reportar problemas de segurança e preservação de dados;
<li> Todos os Usuários compartilham a responsabilidade de proteger a confidencialidade e segurança dos dados.</li>
## promover segurança e preservação de dados;
 
## monitorar os riscos à segurança de dados e relatar quaisquer riscos conhecidos ou razoavelmente previsíveis ao Comitê de Segurança de Dados.
'''<s>Papéis e Responsabilidades</s>'''
# Os Usuários, como definido nesta política, são responsáveis por cumprir todos os procedimentos relacionados à segurança relativos a qualquer Recurso de Informação ao qual tenham acesso autorizado ou qualquer informação derivada dele que possuam.<br>Especificamente um usuário é responsável por:
<li> A Prefeitura deve estabelecer procedimentos e diretrizes referentes à coleta, armazenamento e uso de dados.</li>
## familiarizar se e cumprir todas as políticas relevantes da Prefeitura, incluindo, sem limitação, esta política e todas as diretivas de segurança de dados e outras políticas e legislação vigente relacionadas à proteção de dados, uso de tecnologia e direitos de privacidade.
<li> A Prefeitura deve dar conhecimento e exigir o cumprimento das Políticas de Governança de Dados à todos os Usuários.
## fornecimento de segurança física adequada para equipamentos de tecnologia da informação, mídia de armazenamento e dados físicos Esses equipamentos e arquivos não devem ser deixados sem supervisão sem serem bloqueados ou protegidos de outra forma, de modo que usuários não autorizados não possam obter acesso físico aos dados ou ao(s) dispositivo(s) que os armazenam.
</li>
## garantir que as informações confidenciais, sigilosas, pessoais e sensíveis não sejam distribuídas ou acessíveis a pessoas não autorizadas Os usuários não devem compartilhar suas senhas de autorização em nenhuma circunstância Os usuários devem se valer de quaisquer medidas de segurança, como tecnologia de criptografia, atualizações ou patches de segurança.
<li> Todo acesso a Recursos de Informação deve primeiro ser autorizados pela equipe designada do órgão ou entidade.</li>
## notificar imediatamente sua Autoridade de Dados quando ciente de qualquer incidente que possa causar uma quebra de segurança ou violação desta política.
<li> Os acessos aos Recursos de Informação devem ser concedidos apenas o necessário para o cumprimento das tarefas solicitadas e autorizadas pelo Usuário.
# Funcionários, fornecedores, parceiros e outras agências governamentais devem primeiro ser autorizados pela equipe designada do órgão ou entidade antes de acessar Recursos de Informação.
</li>
# Os usuários podem acessar, usar ou compartilhar Recursos de Informação apenas na medida necessária para cumprir as tarefas atribuídas Todos os Recursos de Informação devem ser manuseados com o devido cuidado e confidencialidade. Os usuários que criam, recebem, processam, editam, armazenam, distribuem ou destroem dados que são confidenciais, sensíveis por natureza e/ou regidos por leis, regras ou regulamentações federais, estaduais e municipais devem compreender suas responsabilidades para proteger tais informações.
<li> Os usuários podem acessar, usar ou compartilhar Recursos de Informação apenas na medida necessária para cumprir as tarefas atribuídas. </li>
# É permitido o uso pessoal limitado e razoável de Recursos de Informação da Prefeitura, de acordo com esta Política Os usuários devem estar cientes de que todo uso pode ser monitorado e não há expectativa razoável de privacidade no uso destes recursos.
<li> Todos os Recursos de Informação devem ser manuseados com o devido cuidado e confidencialidade.  
# Cada usuário deve evitar todas as atividades que comprometam a segurança, o desempenho ou a integridade dos Recursos de Informação ou que afetem negativamente outros usuários.<br>
</li>
#'''Plano de Segurança'''<br> O Subcomitê de Segurança de Dados, em colaboração com o Escritório de Governança de Dados, EMPREL e Autoridades de Dados, deve desenvolver um plano de segurança que
<li>
## seja consistente com a Arquitetura de Dados.
</li>
## defina explicitamente o limite de autorização dos sistemas.
<li>
## descreva o contexto operacional da Plataforma de Dados em termos de missões e processos de negócio.
</li>
## forneça a categorização de segurança dos ativos de dados, incluindo a justificativa de suporte.
<li>  
## forneça uma visão geral dos requisitos de segurança de dados.
</li>
## descreva os controles de segurança implementados ou planejados para atender a esses requisitos, incluindo uma justificativa para as decisões de adaptação.
<li>
# O plano de segurança de dados, bem como todos os procedimentos e padrões de segurança, devem ser registrados no repositório institucional de artefatos de Governança de Dados O repositório permitirá que usuários autorizados localizem, gerenciem e usem estes artefatos.
</li>
# O plano de segurança deve ser revisado em uma frequência definida com base no risco
<li> Os usuários que criam, recebem, processam, editam, armazenam, distribuem ou destroem dados que são confidenciais, sensíveis por natureza e/ou regidos por leis, regras ou regulamentações federais, estaduais e municipais devem compreender suas responsabilidades para proteger tais informações.
# O plano de segurança também deve ser atualizado para abordar as mudanças para
</li>
## arquitetura de dados;
<li> É permitido o uso pessoal limitado e razoável de Recursos de Informação da Prefeitura, de acordo com esta Política. Os usuários devem estar cientes de que todo uso pode ser monitorado e não há expectativa razoável de privacidade no uso destes recursos.</li>
## plataforma de dados;
<li> Cada usuário deve evitar todas as atividades que comprometam a segurança, o desempenho ou a integridade dos Recursos de Informação ou que afetem negativamente outros usuários.</li>
## problemas identificados durante a implementação do plano; e
 
## avaliações de controle de segurança.<br>
'''Plano de Segurança'''
#'''Violação de Segurança'''<br> Conforme estabelecido acima, os usuários e responsáveis pela segurança de dados devem relatar qualquer violação de segurança conhecida ou qualquer incidente que possa causar uma violação de segurança.
<li> O Subcomitê de Segurança de Dados, em colaboração com o Escritório de Governança de Dados, EMPREL e Autoridades de Dados, deve desenvolver um plano de segurança que:
# Violações de segurança incluem, mas não se limitam a:
<ol type="i">
## tentativas (com falha ou bem sucedidas) de obter acesso não autorizado a um sistema ou seus dados;
<li> seja consistente com a Arquitetura de Dados <mark>[link]</mark>;</li>
## uma interrupção indesejada ou negação de serviço;
<li> defina explicitamente o limite de autorização dos sistemas;</li>
## descoberta de invasões de rede;
<li> descreva o contexto operacional da Plataforma de Dados <mark>[link]</mark> em termos de missões e processos de negócio;</li>
## eventos de malware;
<li> forneça a categorização de segurança dos ativos de dados, incluindo a justificativa de suporte;</li>
## O uso não autorizado de um sistema de processamento ou armazenamento de dados;
<li> forneça uma visão geral dos requisitos de segurança de dados;</li>
## alterações nas características de hardware, firmware ou software do sistema sem o conhecimento, instrução ou consentimento do proprietário;
<li> descreva os controles de segurança implementados ou planejados para atender a esses requisitos, incluindo uma justificativa para as decisões de adaptação.</li>
## uma mudança não planejada, não autorizada ou inesperada nas linhas de base de segurança, incluindo uma mudança não autorizada nos controles, tecnologias ou processos de segurança;
</ol></li>
## a liberação inadequada de informações de identificação pessoal ou outras informações confidenciais;
<li> O plano de segurança de dados, bem como todos os procedimentos e padrões de segurança, devem ser registrados no repositório institucional de artefatos de Governança de Dados <mark>[link]</mark>. O repositório permitirá que usuários autorizados localizem, gerenciem e usem estes artefatos.</li>
## roubo ou perda de equipamento de tecnologia da informação (TI) que pode conter informações não públicas; e
<li> O plano de segurança deve ser revisado em uma frequência definida com base no risco</li>
## uma violação das políticas de segurança da informação.
<li> O plano de segurança também deve ser atualizado para abordar as mudanças para:
# Uma capacidade de tratamento de violação de segurança de dados será desenvolvida e mantida pelo Subcomitê de Segurança de Dados que inclui processos de preparação, detecção e análise, contenção, erradicação e recuperação
<ol type="i">
# O Subcomitê de Segurança de Dados deve desenvolver e manter um Plano de Resposta a Violações de Segurança de Dados, procedimentos e diretrizes que
<li> arquitetura de dados;</li>
## forneça ao Conselho de Governança de Dados um roteiro para a implementação de sua capacidade de resposta a incidentes
<li> plataforma de dados;</li>
## descreva a estrutura e organização da capacidade de resposta a incidentes
<li> problemas identificados durante a implementação do plano; e</li>
## forneça uma abordagem de alto nível para a capacidade de resposta a incidentes
<li> avaliações de controle de segurança.</li>
## defina incidentes relatáveis
</ol></li>
## forneça métricas para medir a capacidade de resposta a incidentes
 
## defina os recursos e o suporte de gerenciamento necessários para manter e amadurecer com eficácia uma capacidade de resposta a incidentes
'''Violação de Segurança'''
# Imediatamente ao tomar conhecimento de uma provável violação de segurança, a Autoridade de Dados notificará o Escritório de Governança de Dados e o Subcomitê de Segurança de Dados Estes órgãos e a auditoria interna devem conduzir uma investigação compatível com a natureza da violação
<li> Conforme estabelecido acima, os usuários e responsáveis pela segurança de dados devem relatar qualquer violação de segurança conhecida ou qualquer incidente que possa causar uma violação de segurança.</li>
# A Prefeitura deve estabelecer uma Comissão Disciplinar de Segurança de Dados, de caráter permanente, com natureza consultiva e julgadora, competente para averiguar questões referentes a possíveis irregularidades relacionadas a proteção e segurança de dados Esta Comissão poderá executar medidas disciplinares cabíveis contra um funcionário, tomadas em resposta a uma violação desta política
<li> Violações de segurança incluem, mas não se limitam a:
# Se o evento envolver um assunto criminal, os órgãos de justiças cabíveis devem ser notificados A Controladoria do Município determinará e coordenará as ações de mitigação e investigação de acordo com as leis vigentes e cabíveis
<ol type="i">
# O Subcomitê de Segurança de Dados e órgãos de auditoria interna devem investigar e revisar o incidente com o(s) departamento(s) diretamente afetado(s) pelo incidente. O resultado do processo de investigação deve ser documentado em um relatório formal que será distribuído a todas as partes interessadas e cabíveis.
<li> tentativas de obter acesso não autorizado a um sistema ou seus dados;</li>
#'''Gestão de Riscos'''<br> O Subcomitê de Segurança de Dados, em colaboração com o Escritório de Governança de Dados, EMPREL e Autoridades de Dados, em consulta a Custodiantes de Dados, deve conduzir uma avaliação de risco, incluindo a probabilidade e magnitude do dano, do acesso não autorizado, uso, divulgação, interrupção, modificação ou destruição de ativos de dados e outros Recursos de Informação.
<li> uma interrupção indesejada ou negação de serviço;</li>
# O Subcomitê de Segurança de Dados fica desobrigado de obter autorização para verificar vulnerabilidades nos Recursos de Informação.
<li> descoberta de invasões de rede;</li>
# O Subcomitê de Segurança de Dados deve empregar ferramentas e técnicas de varredura de vulnerabilidade que facilitem a interoperabilidade entre as ferramentas e automatizem partes do processo de gerenciamento de vulnerabilidade usando padrões para:
<li> eventos de malware;</li>
## enumerar plataformas, falhas de software e configurações inadequadas
<li> O uso não autorizado de um sistema de processamento ou armazenamento de dados;</li>
## formatação de listas de verificação e procedimentos de teste
<li> alterações nas características de hardware, firmware ou software do sistema sem o conhecimento, instrução ou consentimento do proprietário;</li>
## medir o impacto da vulnerabilidade
<li> uma mudança não planejada, não autorizada ou inesperada nas linhas de base de segurança, incluindo uma mudança não autorizada nos controles, tecnologias ou processos de segurança;</li>
## avaliar os controles de segurança para determinar até que ponto os controles são implementados corretamente, operando como pretendido e produzindo o resultado desejado com relação ao cumprimento dos requisitos de segurança estabelecidos.
<li> a liberação inadequada de informações de identificação pessoal ou outras informações confidenciais;</li>
# O Subcomitê de Segurança de Dados deve documentar os resultados da avaliação de risco e preparar um relatório de avaliação de risco
<li> roubo ou perda de equipamento de tecnologia da informação (TI) que pode conter informações não públicas; e</li>
# O Subcomitê de Segurança de Dados deve revisar os resultados da avaliação de risco
<li> uma violação das políticas de segurança da informação.</li>
# Cada órgão e entidade deverá corrigir vulnerabilidades legítimas de acordo com uma avaliação de risco realizada pelo Subcomitê de Segurança de Dados
</ol></li>
# O Subcomitê de Segurança de Dados deve atualizar a avaliação de risco sempre que houver mudanças significativas na Plataforma de Dados ou ambiente de operação (incluindo a identificação de novas ameaças e vulnerabilidades) ou outras condições que podem afetar o estado de segurança dos Recursos de Informação Sistema de Contas e Senha.
<li> Uma capacidade de tratamento de violação de segurança de dados será desenvolvida e mantida pelo Subcomitê de Segurança de Dados que inclui processos de preparação, detecção e análise, contenção, erradicação e recuperação.</li>
# O acesso aos recursos e serviços de TI da Prefeitura será concedido por meio do fornecimento de uma conta de usuário única e senha complexa As contas devem ser fornecidas pelo departamento ou empresa que presta serviço de TI para Prefeitura.
<li> O Subcomitê de Segurança de Dados deve desenvolver e manter um Plano de Resposta a Violações de Segurança de Dados <mark>[link]</mark>, procedimentos e diretrizes que:
# A Prefeitura deve estabelecer padrões e/ou procedimentos para criar, habilitar, modificar, desabilitar e remover contas de usuário.
<ol type="i">
# Cada departamento deve identificar os tipos de conta dos recursos de informação para apoiar sua missão e funções operacionais Os tipos de conta podem incluir, mas não estão limitados a contas de grupo, sistema, aplicativo, convidado/anônimo, emergência e temporário.
<li> forneça ao Conselho de Governança de Dados um roteiro para a implementação de sua capacidade de resposta a incidentes;</li>
# Cada órgão ou entidade deve especificar os atributos necessários para usuários autorizados, grupo e associação de função e autorizações de acesso.
<li> descreva a estrutura e organização da capacidade de resposta a incidentes;</li>
# Cada órgão ou entidade deve ter a capacidade técnica para garantir o acesso lógico às informações e aos recursos do sistema de acordo com as regras e políticas de controle de acesso.
<li> forneça uma abordagem de alto nível para a capacidade de resposta a incidentes;</li>
# Os usuários devem ser identificados por um Identificador (ID) de usuário exclusivo para que os indivíduos possam ser responsabilizados por suas ações
<li> defina incidentes relatáveis;</li>
# O uso de identidades compartilhadas é permitido apenas onde elas são adequadas, como contas de treinamento ou contas de serviço.
<li> forneça métricas para medir a capacidade de resposta a incidentes;</li>
# Os registros de acesso do usuário podem ser usados para fornecer evidências para investigações de incidentes de segurança.
<li> defina os recursos e o suporte de gerenciamento necessários para manter e amadurecer com eficácia uma capacidade de resposta a incidentes.
# O acesso deve ser concedido com base no princípio do menor privilégio, o que significa que cada programa e usuário receberá o menor número de privilégios necessários para concluir suas tarefas.
</ol></li>
# '''Contingenciamento e Recuperação'''<br> O Subcomitê de Segurança de Dados, em colaboração com o Escritório de Governança de Dados, EMPREL, deve estabelecer medidas e procedimentos de planejamento de contingência de dados O planejamento de contingência ajuda a executar uma resposta coerente, organizada, planejada e estratégica às emergências relacionadas a falhas na Plataforma de Dados e outros eventos que impactem na disponibilidade dos dados.
<li> Imediatamente ao tomar conhecimento de uma provável violação de segurança, a Autoridade de Dados notificará o Escritório de Governança de Dados e o Subcomitê de Segurança de Dados. Estes órgãos e a auditoria interna devem conduzir uma investigação compatível com a natureza da violação.</li>
# Os planos de contingência devem:
<li> A Prefeitura deve estabelecer uma Comissão Disciplinar de Segurança de Dados <mark>[link]</mark>, de caráter permanente, com natureza consultiva e julgadora, competente para averiguar questões referentes a possíveis irregularidades relacionadas a proteção e segurança de dados. Esta Comissão poderá executar medidas disciplinares cabíveis contra um funcionário, tomadas em resposta a uma violação desta política.</li>
## identificar missões essenciais e funções operacionais e requisitos de contingência associados;
<li> Se o evento envolver um assunto criminal, os órgãos de justiças cabíveis devem ser notificados. A Controladoria do Município determinará e coordenará as ações de mitigação e investigação de acordo com as leis vigentes e cabíveis.</li>
## fornecer objetivos de recuperação e prioridades de restauração;
<li> O Subcomitê de Segurança de Dados e órgãos de auditoria interna devem investigar e revisar o incidente com o(s) departamento(s) diretamente afetado(s) pelo incidente. O resultado do processo de investigação deve ser documentado em um relatório formal que será distribuído a todas as partes interessadas e cabíveis.</li>
## abordar funções de contingência, responsabilidades e informações de contato de indivíduos designados, bem como delegações de autoridade, ordens de sucessão e procedimentos de notificação;
 
## abordar a restauração eventual e completa da plataforma, sem deterioração das salvaguardas de segurança originalmente planejadas e implementadas.
'''Gestão de Riscos'''
# Devem ser estabelecidos locais de armazenamento alternativo, incluindo os acordos necessários para permitir o armazenamento e recuperação das informações de backup. Estes locais de armazenamento alternativo devem estar sob proteção de salvaguardas de segurança da informação equivalentes às do local principal.
<li> O Subcomitê de Segurança de Dados, em colaboração com o Escritório de Governança de Dados, EMPREL e Autoridades de Dados, em consulta a Custodiantes de Dados, deve conduzir uma avaliação de risco, incluindo a probabilidade e magnitude do dano, do acesso não autorizado, uso, divulgação, interrupção, modificação ou destruição de ativos de dados e outros Recursos de Informação.</li>
# Devem ser estabelecidos também locais de processamento alternativo, incluindo os acordos necessários para permitir a retomada das operações dos Recursos de Informação para missões essenciais e funções operacionais da Prefeitura dentro de um período de tempo definido consistente com os objetivos de tempo de recuperação quando os recursos de processamento primário não estiverem disponíveis.
<li> O Subcomitê de Segurança de Dados fica desobrigado de obter autorização para verificar vulnerabilidades nos Recursos de Informação.</li>
# A Prefeitura deve garantir que os equipamentos e suprimentos necessários para retomar as operações estejam disponíveis no local alternativo para apoiar a entrega a tempo de suportar o período de tempo definido para a retomada.
<li> O Subcomitê de Segurança de Dados deve empregar ferramentas e técnicas de varredura de vulnerabilidade que facilitem a interoperabilidade entre as ferramentas e automatizem partes do processo de gerenciamento de vulnerabilidade usando padrões para:
# Custodiantes de Dados devem conduzir backups periódicos das informações dentro de uma frequência definida consistente com o tempo de recuperação e os objetivos do ponto de recuperação O backup também deve ser protegido em termos de confidencialidade e integridade das informações.
<ol type="i">
# Devem ser testadas as informações de backup dentro de uma frequência definida para verificar a confiabilidade da mídia e integridade da informação.
<li> enumerar plataformas, falhas de software e configurações inadequadas;</li>
# '''Treinamento'''<br> O Subcomitê de Segurança deve desenvolver, implementar e atualizar uma estratégia abrangente de treinamento e conscientização destinada a garantir que os servidores, funcionários e contratados entendam as responsabilidades e procedimentos de segurança de dados.
<li> formatação de listas de verificação e procedimentos de teste;</li>
# Cada órgão ou entidade deve administrar treinamento básico de segurança de dados anualmente.
<li> medir o impacto da vulnerabilidade;</li>
# Cada órgão ou entidade deve administrar o treinamento adicional baseado em funções, conforme exigido pelas diretrizes federais, estaduais e locais.
<li> avaliar os controles de segurança para determinar até que ponto os controles são implementados corretamente, operando como pretendido e produzindo o resultado desejado com relação ao cumprimento dos requisitos de segurança estabelecidos.</li>
</ol></li>
<li> O Subcomitê de Segurança de Dados deve documentar os resultados da avaliação de risco e preparar um relatório de avaliação de risco.</li>
<li> O Subcomitê de Segurança de Dados deve revisar os resultados da avaliação de risco.</li>
<li> Cada órgão e entidade deverá corrigir vulnerabilidades legítimas de acordo com uma avaliação de risco realizada pelo Subcomitê de Segurança de Dados.</li>
<li> O Subcomitê de Segurança de Dados deve atualizar a avaliação de risco sempre que houver mudanças significativas na Plataforma de Dados ou ambiente de operação (incluindo a identificação de novas ameaças e vulnerabilidades) ou outras condições que podem afetar o estado de segurança dos Recursos de Informação, Sistema de Contas e Senha.</li>
<li> O acesso aos recursos e serviços de TI da Prefeitura será concedido por meio do fornecimento de uma conta de usuário única e senha forte e complexa. As contas devem ser fornecidas pelo departamento ou empresa que presta serviço de TI para Prefeitura.</li>
<li> A Prefeitura deve estabelecer padrões e/ou procedimentos para criar, habilitar, modificar, desabilitar e remover contas de usuário.</li>
<li> Cada departamento deve identificar os tipos de conta dos recursos de informação para apoiar sua missão e funções operacionais. Os tipos de conta podem incluir, mas não estão limitados a contas de grupo, sistema, aplicativo, convidado/anônimo, emergência e temporário.</li>
<li> Cada órgão ou entidade deve especificar os atributos necessários para usuários autorizados, grupo e associação de função e autorizações de acesso.</li>
<li> Cada órgão ou entidade deve ter a capacidade técnica para garantir o acesso lógico às informações e aos recursos do sistema de acordo com as regras e políticas de controle de acesso.</li>
<li> Os usuários devem ser identificados por um Identificador (ID) de usuário exclusivo para que os indivíduos possam ser responsabilizados por suas ações.</li>
<li> O uso de identidades compartilhadas é permitido apenas onde elas são adequadas, como contas de treinamento ou contas de serviço.</li>
<li> Os registros de acesso do usuário podem ser usados para fornecer evidências para investigações de incidentes de segurança.</li>
<li> O acesso deve ser concedido com base no princípio do menor privilégio, o que significa que cada programa e usuário receberá o menor número de privilégios necessários para concluir suas tarefas.</li>
 
'''Contingenciamento e Recuperação'''
<li> O Subcomitê de Segurança de Dados, em colaboração com o Escritório de Governança de Dados, EMPREL, deve estabelecer medidas e procedimentos de planejamento de contingência de dados. O planejamento de contingência ajuda a executar uma resposta coerente, organizada, planejada e estratégica às emergências relacionadas a falhas na Plataforma de Dados e outros eventos que impactem na disponibilidade dos dados.
<li> Os planos de contingência devem:
<ol type="i">
<li> identificar missões essenciais e funções operacionais e requisitos de contingência associados;</li>
<li> fornecer objetivos de recuperação e prioridades de restauração;</li>
<li> abordar funções de contingência, responsabilidades e informações de contato de indivíduos designados, bem como delegações de autoridade, ordens de sucessão e procedimentos de notificação;</li>
<li> abordar a restauração eventual e completa da plataforma, sem deterioração das salvaguardas de segurança originalmente planejadas e implementadas.</li>
</ol></li>
<li> Devem ser estabelecidos locais de armazenamento alternativo, incluindo os acordos necessários para permitir o armazenamento e recuperação das informações de backup. Estes locais de armazenamento alternativo devem estar sob proteção de salvaguardas de segurança da informação equivalentes às do local principal.</li>
<li> Devem ser estabelecidos também locais de processamento alternativo, incluindo os acordos necessários para permitir a retomada das operações dos Recursos de Informação para missões essenciais e funções operacionais da Prefeitura dentro de um período de tempo definido consistente com os objetivos de tempo de recuperação quando os recursos de processamento primário não estiverem disponíveis.</li>
<li> A Prefeitura deve garantir que os equipamentos e suprimentos necessários para retomar as operações estejam disponíveis no local alternativo para apoiar a entrega a tempo de suportar o período de tempo definido para a retomada.</li>
<li> Custodiantes de Dados devem conduzir backups periódicos das informações dentro de uma frequência definida consistente com o tempo de recuperação e os objetivos do ponto de recuperação O backup também deve ser protegido em termos de confidencialidade e integridade das informações.</li>
<li> Devem ser testadas as informações de backup dentro de uma frequência definida para verificar a confiabilidade da mídia e integridade da informação.</li>
 
'''Treinamento'''
<li> O Subcomitê de Segurança deve desenvolver, implementar e atualizar uma estratégia abrangente de treinamento e conscientização destinada a garantir que os servidores, funcionários e contratados entendam as responsabilidades e procedimentos de segurança de dados.</li>
<li> Cada órgão ou entidade deve administrar treinamento básico de segurança de dados anualmente.</li>
<li> Cada órgão ou entidade deve administrar o treinamento adicional baseado em funções, conforme exigido pelas diretrizes federais, estaduais e locais.</li>

Edição atual tal como às 11h54min de 13 de outubro de 2021

OOjs UI icon lightbulb-yellow.svg Este documento é parte integrante do Programa de Governança de Dados da Prefeitura do Recife.

Esta política se aplica:

  • Aos órgãos públicos integrantes da Administração direta do Poder Executivo Municipal;
  • Às autarquias, às fundações públicas, às empresas públicas, às sociedades de economia mista e às entidades controladas, direta ou indiretamente, pelo Município do Recife e vinculadas ao Poder Executivo Municipal;
  • Às entidades privadas que recebam recursos públicos diretamente do orçamento ou mediante subvenções sociais, contrato de gestão, termo de parceria, convênios, acordo, ajustes ou outros instrumentos congêneres, estando a publicidade limitada à parcela dos recursos públicos oriundos do Município do Recife.

A segurança de dados é o conjunto de todas as práticas e processos que estão em vigor para garantir que os dados não sejam usados, acessados, alterados ou removidos por pessoas ou partes não autorizadas.

Visa proteger e garantir os três princípios da segurança da informação – confidencialidade, integridade e disponibilidade, assegurando que os dados sejam precisos e confiáveis e estejam disponíveis quando aqueles com acesso autorizado precisarem.

  1. Esta Política se refere a todas as informações, dados, sistemas, tecnologia e recursos coletivamente, referenciados aqui por “Recursos de Informação”.
  2. Servidores, funcionários e contratados do poder executivo de Recife e de todos os órgãos, conselhos e comissões municipais eventualmente no desempenho de suas funções têm acesso a informações e sistemas, tecnologia e outros recursos de informação, incluindo hardware, software e acesso à rede de computadores de propriedade da Prefeitura do Recife. Todo esse pessoal é referido como "Usuário" nesta política.
  3. Como administradores de recursos de TI, cada um dos usuários é responsável por proteger esses recursos.
  4. Todas as informações confidenciais, sigilosas, pessoais e sensíveis devem ser protegidas contra acesso não autorizado, uso, modificação ou destruição.
  5. Todos os Usuários compartilham a responsabilidade de proteger a confidencialidade e segurança dos dados.
    6. Papéis e Responsabilidades
  6. A Prefeitura deve estabelecer procedimentos e diretrizes referentes à coleta, armazenamento e uso de dados.
  7. A Prefeitura deve dar conhecimento e exigir o cumprimento das Políticas de Governança de Dados à todos os Usuários.
  8. Todo acesso a Recursos de Informação deve primeiro ser autorizados pela equipe designada do órgão ou entidade.
  9. Os acessos aos Recursos de Informação devem ser concedidos apenas o necessário para o cumprimento das tarefas solicitadas e autorizadas pelo Usuário.
  10. Os usuários podem acessar, usar ou compartilhar Recursos de Informação apenas na medida necessária para cumprir as tarefas atribuídas.
  11. Todos os Recursos de Informação devem ser manuseados com o devido cuidado e confidencialidade.
  16. Os usuários que criam, recebem, processam, editam, armazenam, distribuem ou destroem dados que são confidenciais, sensíveis por natureza e/ou regidos por leis, regras ou regulamentações federais, estaduais e municipais devem compreender suas responsabilidades para proteger tais informações.
  17. É permitido o uso pessoal limitado e razoável de Recursos de Informação da Prefeitura, de acordo com esta Política. Os usuários devem estar cientes de que todo uso pode ser monitorado e não há expectativa razoável de privacidade no uso destes recursos.
  18. Cada usuário deve evitar todas as atividades que comprometam a segurança, o desempenho ou a integridade dos Recursos de Informação ou que afetem negativamente outros usuários.
    19. Plano de Segurança
  19. O Subcomitê de Segurança de Dados, em colaboração com o Escritório de Governança de Dados, EMPREL e Autoridades de Dados, deve desenvolver um plano de segurança que:
    1. seja consistente com a Arquitetura de Dados [link];
    2. defina explicitamente o limite de autorização dos sistemas;
    3. descreva o contexto operacional da Plataforma de Dados [link] em termos de missões e processos de negócio;
    4. forneça a categorização de segurança dos ativos de dados, incluindo a justificativa de suporte;
    5. forneça uma visão geral dos requisitos de segurança de dados;
    6. descreva os controles de segurança implementados ou planejados para atender a esses requisitos, incluindo uma justificativa para as decisões de adaptação.
  20. O plano de segurança de dados, bem como todos os procedimentos e padrões de segurança, devem ser registrados no repositório institucional de artefatos de Governança de Dados [link]. O repositório permitirá que usuários autorizados localizem, gerenciem e usem estes artefatos.
  21. O plano de segurança deve ser revisado em uma frequência definida com base no risco
  22. O plano de segurança também deve ser atualizado para abordar as mudanças para:
    1. arquitetura de dados;
    2. plataforma de dados;
    3. problemas identificados durante a implementação do plano; e
    4. avaliações de controle de segurança.

    23. Violação de Segurança

  23. Conforme estabelecido acima, os usuários e responsáveis pela segurança de dados devem relatar qualquer violação de segurança conhecida ou qualquer incidente que possa causar uma violação de segurança.
  24. Violações de segurança incluem, mas não se limitam a:
    1. tentativas de obter acesso não autorizado a um sistema ou seus dados;
    2. uma interrupção indesejada ou negação de serviço;
    3. descoberta de invasões de rede;
    4. eventos de malware;
    5. O uso não autorizado de um sistema de processamento ou armazenamento de dados;
    6. alterações nas características de hardware, firmware ou software do sistema sem o conhecimento, instrução ou consentimento do proprietário;
    7. uma mudança não planejada, não autorizada ou inesperada nas linhas de base de segurança, incluindo uma mudança não autorizada nos controles, tecnologias ou processos de segurança;
    8. a liberação inadequada de informações de identificação pessoal ou outras informações confidenciais;
    9. roubo ou perda de equipamento de tecnologia da informação (TI) que pode conter informações não públicas; e
    10. uma violação das políticas de segurança da informação.
  25. Uma capacidade de tratamento de violação de segurança de dados será desenvolvida e mantida pelo Subcomitê de Segurança de Dados que inclui processos de preparação, detecção e análise, contenção, erradicação e recuperação.
  26. O Subcomitê de Segurança de Dados deve desenvolver e manter um Plano de Resposta a Violações de Segurança de Dados [link], procedimentos e diretrizes que:
    1. forneça ao Conselho de Governança de Dados um roteiro para a implementação de sua capacidade de resposta a incidentes;
    2. descreva a estrutura e organização da capacidade de resposta a incidentes;
    3. forneça uma abordagem de alto nível para a capacidade de resposta a incidentes;
    4. defina incidentes relatáveis;
    5. forneça métricas para medir a capacidade de resposta a incidentes;
    6. defina os recursos e o suporte de gerenciamento necessários para manter e amadurecer com eficácia uma capacidade de resposta a incidentes.
  27. Imediatamente ao tomar conhecimento de uma provável violação de segurança, a Autoridade de Dados notificará o Escritório de Governança de Dados e o Subcomitê de Segurança de Dados. Estes órgãos e a auditoria interna devem conduzir uma investigação compatível com a natureza da violação.
  28. A Prefeitura deve estabelecer uma Comissão Disciplinar de Segurança de Dados [link], de caráter permanente, com natureza consultiva e julgadora, competente para averiguar questões referentes a possíveis irregularidades relacionadas a proteção e segurança de dados. Esta Comissão poderá executar medidas disciplinares cabíveis contra um funcionário, tomadas em resposta a uma violação desta política.
  29. Se o evento envolver um assunto criminal, os órgãos de justiças cabíveis devem ser notificados. A Controladoria do Município determinará e coordenará as ações de mitigação e investigação de acordo com as leis vigentes e cabíveis.
  30. O Subcomitê de Segurança de Dados e órgãos de auditoria interna devem investigar e revisar o incidente com o(s) departamento(s) diretamente afetado(s) pelo incidente. O resultado do processo de investigação deve ser documentado em um relatório formal que será distribuído a todas as partes interessadas e cabíveis.
    31. Gestão de Riscos
  31. O Subcomitê de Segurança de Dados, em colaboração com o Escritório de Governança de Dados, EMPREL e Autoridades de Dados, em consulta a Custodiantes de Dados, deve conduzir uma avaliação de risco, incluindo a probabilidade e magnitude do dano, do acesso não autorizado, uso, divulgação, interrupção, modificação ou destruição de ativos de dados e outros Recursos de Informação.
  32. O Subcomitê de Segurança de Dados fica desobrigado de obter autorização para verificar vulnerabilidades nos Recursos de Informação.
  33. O Subcomitê de Segurança de Dados deve empregar ferramentas e técnicas de varredura de vulnerabilidade que facilitem a interoperabilidade entre as ferramentas e automatizem partes do processo de gerenciamento de vulnerabilidade usando padrões para:
    1. enumerar plataformas, falhas de software e configurações inadequadas;
    2. formatação de listas de verificação e procedimentos de teste;
    3. medir o impacto da vulnerabilidade;
    4. avaliar os controles de segurança para determinar até que ponto os controles são implementados corretamente, operando como pretendido e produzindo o resultado desejado com relação ao cumprimento dos requisitos de segurança estabelecidos.
  34. O Subcomitê de Segurança de Dados deve documentar os resultados da avaliação de risco e preparar um relatório de avaliação de risco.
  35. O Subcomitê de Segurança de Dados deve revisar os resultados da avaliação de risco.
  36. Cada órgão e entidade deverá corrigir vulnerabilidades legítimas de acordo com uma avaliação de risco realizada pelo Subcomitê de Segurança de Dados.
  37. O Subcomitê de Segurança de Dados deve atualizar a avaliação de risco sempre que houver mudanças significativas na Plataforma de Dados ou ambiente de operação (incluindo a identificação de novas ameaças e vulnerabilidades) ou outras condições que podem afetar o estado de segurança dos Recursos de Informação, Sistema de Contas e Senha.
  38. O acesso aos recursos e serviços de TI da Prefeitura será concedido por meio do fornecimento de uma conta de usuário única e senha forte e complexa. As contas devem ser fornecidas pelo departamento ou empresa que presta serviço de TI para Prefeitura.
  39. A Prefeitura deve estabelecer padrões e/ou procedimentos para criar, habilitar, modificar, desabilitar e remover contas de usuário.
  40. Cada departamento deve identificar os tipos de conta dos recursos de informação para apoiar sua missão e funções operacionais. Os tipos de conta podem incluir, mas não estão limitados a contas de grupo, sistema, aplicativo, convidado/anônimo, emergência e temporário.
  41. Cada órgão ou entidade deve especificar os atributos necessários para usuários autorizados, grupo e associação de função e autorizações de acesso.
  42. Cada órgão ou entidade deve ter a capacidade técnica para garantir o acesso lógico às informações e aos recursos do sistema de acordo com as regras e políticas de controle de acesso.
  43. Os usuários devem ser identificados por um Identificador (ID) de usuário exclusivo para que os indivíduos possam ser responsabilizados por suas ações.
  44. O uso de identidades compartilhadas é permitido apenas onde elas são adequadas, como contas de treinamento ou contas de serviço.
  45. Os registros de acesso do usuário podem ser usados para fornecer evidências para investigações de incidentes de segurança.
  46. O acesso deve ser concedido com base no princípio do menor privilégio, o que significa que cada programa e usuário receberá o menor número de privilégios necessários para concluir suas tarefas.
    47. Contingenciamento e Recuperação
  47. O Subcomitê de Segurança de Dados, em colaboração com o Escritório de Governança de Dados, EMPREL, deve estabelecer medidas e procedimentos de planejamento de contingência de dados. O planejamento de contingência ajuda a executar uma resposta coerente, organizada, planejada e estratégica às emergências relacionadas a falhas na Plataforma de Dados e outros eventos que impactem na disponibilidade dos dados.
  48. Os planos de contingência devem:
    1. identificar missões essenciais e funções operacionais e requisitos de contingência associados;
    2. fornecer objetivos de recuperação e prioridades de restauração;
    3. abordar funções de contingência, responsabilidades e informações de contato de indivíduos designados, bem como delegações de autoridade, ordens de sucessão e procedimentos de notificação;
    4. abordar a restauração eventual e completa da plataforma, sem deterioração das salvaguardas de segurança originalmente planejadas e implementadas.
  49. Devem ser estabelecidos locais de armazenamento alternativo, incluindo os acordos necessários para permitir o armazenamento e recuperação das informações de backup. Estes locais de armazenamento alternativo devem estar sob proteção de salvaguardas de segurança da informação equivalentes às do local principal.
  50. Devem ser estabelecidos também locais de processamento alternativo, incluindo os acordos necessários para permitir a retomada das operações dos Recursos de Informação para missões essenciais e funções operacionais da Prefeitura dentro de um período de tempo definido consistente com os objetivos de tempo de recuperação quando os recursos de processamento primário não estiverem disponíveis.
  51. A Prefeitura deve garantir que os equipamentos e suprimentos necessários para retomar as operações estejam disponíveis no local alternativo para apoiar a entrega a tempo de suportar o período de tempo definido para a retomada.
  52. Custodiantes de Dados devem conduzir backups periódicos das informações dentro de uma frequência definida consistente com o tempo de recuperação e os objetivos do ponto de recuperação O backup também deve ser protegido em termos de confidencialidade e integridade das informações.
  53. Devem ser testadas as informações de backup dentro de uma frequência definida para verificar a confiabilidade da mídia e integridade da informação.
    54. Treinamento
  54. O Subcomitê de Segurança deve desenvolver, implementar e atualizar uma estratégia abrangente de treinamento e conscientização destinada a garantir que os servidores, funcionários e contratados entendam as responsabilidades e procedimentos de segurança de dados.
  55. Cada órgão ou entidade deve administrar treinamento básico de segurança de dados anualmente.
  56. Cada órgão ou entidade deve administrar o treinamento adicional baseado em funções, conforme exigido pelas diretrizes federais, estaduais e locais.
Disponível em “https://wikirecife.recife.pe.gov.br/index.php?title=Política_de_segurança_de_dados&oldid=6698