Política de segurança de dados

De Wiki Recife
Revisão de 15h24min de 4 de agosto de 2021 por Administrador (discussão | contribs)

Este documento é parte integrante do Programa de Governança de Dados da Prefeitura do Recife.

A segurança de dados é o conjunto de todas as práticas e processos que estão em vigor para garantir que os dados não sejam usados, acessados, alterados ou removidos por pessoas ou partes não autorizadas.

Visa proteger e garantir os três princípios da segurança da informação – confidencialidade, integridade e disponibilidade, assegurando que os dados sejam precisos e confiáveis e estejam disponíveis quando aqueles com acesso autorizado precisarem.


  1. Esta Política se refere a todas as informações, dados, sistemas, tecnologia e recursos coletivamente chamados como “Recursos de Informação” Como administradores de recursos de TI, cada um dos usuários é responsável por proteger esses recursos.
  2. Esta Política se aplica:
    1. aos órgãos públicos integrantes da Administração direta do Poder Executivo Municipal.
    2. às autarquias, às fundações públicas, às empresas públicas, às sociedades de economia mista e às entidades controladas, direta ou indiretamente, pelo Município do Recife e vinculadas ao Poder Executivo Municipal.
    3. às instituições que recebam recursos públicos diretamente do orçamento ou mediante subvenções sociais, contrato de gestão, termo de parceria, convênios, acordo, ajustes ou outros instrumentos congêneres, publicidade limitada à parcela dos recursos públicos oriundos do Município do Recife.
  3. Servidores, funcionários e contratados do poder executivo de Recife e de todos os órgãos, conselhos e comissões municipais eventualmente no desempenho de suas funções têm acesso a informações e sistemas, tecnologia e outros recursos de informação, incluindo hardware, software e acesso à rede de computadores de propriedade da Prefeitura do Recife Todo esse pessoal é referido como um " ou " nesta política.
  4. Todas as informações confidenciais, sigilosas, pessoais e sensíveis devem ser protegidas contra acesso não autorizado, uso, modificação ou destruição.
  5. Todos os usuários compartilham a responsabilidade de proteger a confidencialidade e segurança dos dados.
    6. Papéis e Responsabilidades
  6. A Prefeitura deve estabelecer um Subcomitê de Segurança de Dados para auxiliar no desenvolvimento de procedimentos e diretrizes referentes à coleta, armazenamento e uso de dados e para auxiliar o Escritório de Governança de Dados na implementação desta política.
  7. Em consulta com o Escritório de Governança de Dados, Conselho de Governança de Dados e EMPREL, compete ao Subcomitê de Segurança de Dados.
    1. formular procedimentos e diretrizes para toda a Prefeitura relativos à coleta, armazenamento, uso e guarda de dados.
    2. atualizar conforme necessário esta política.
    3. tomar medidas para garantir o cumprimento desta política, o que pode incluir, sem limitação, o comissionamento de auditorias internas e investigações.
    4. tomar medidas em resposta a violações desta política ou qualquer violação de segurança.
    5. monitorar a legislação federal, estadual e local sobre privacidade e segurança de dados.
    6. manter se atualizado e informado das melhores práticas em evolução em segurança de dados e privacidade.
    7. estabelecer programas de treinamento e conscientização sobre privacidade e segurança de dados.
  8. Os Custodiantes de Dados serão responsáveis por apoiar a implementação e monitoramento de medidas de segurança associadas à gestão de Recursos de Informação.
  9. Compete aos Custodiantes de Dados:
    1. auxiliar na definição de requisitos de segurança e preservação de dados;
    2. monitorar a segurança e preservação de dados;
    3. implementar, manter e aprimorar mecanismos de segurança e preservação de dados;
    4. apoiar partes interessadas para resolver problemas de segurança e preservação de dados;
    5. auxiliar na condução de processos de auditoria de dados e análise e controle de riscos;
    6. recomendar práticas e ferramentas de segurança e preservação de dados;
    7. reportar problemas de segurança e preservação de dados;
    8. promover segurança e preservação de dados;
    9. monitorar os riscos à segurança de dados e relatar quaisquer riscos conhecidos ou razoavelmente previsíveis ao Comitê de Segurança de Dados.
  10. Os Usuários, como definido nesta política, são responsáveis por cumprir todos os procedimentos relacionados à segurança relativos a qualquer Recurso de Informação ao qual tenham acesso autorizado ou qualquer informação derivada dele que possuam.
    Especificamente um usuário é responsável por:
    1. Familiarizar se e cumprir todas as políticas relevantes da Prefeitura, incluindo, sem limitação, esta política e todas as diretivas de segurança de dados e outras políticas e legislação vigente relacionadas à proteção de dados, uso de tecnologia e direitos de privacidade.
    2. Fornecimento de segurança física adequada para equipamentos de tecnologia da informação, mídia de armazenamento e dados físicos Esses equipamentos e arquivos não devem ser deixados sem supervisão sem serem bloqueados ou protegidos de outra forma, de modo que usuários não autorizados não possam obter acesso físico aos dados ou ao(s) dispositivo(s) que os armazenam.
    3. Garantir que as informações confidenciais, sigilosas, pessoais e sensíveis não sejam distribuídas ou acessíveis a pessoas não autorizadas Os usuários não devem compartilhar suas senhas de autorização em nenhuma circunstância Os usuários devem se valer de quaisquer medidas de segurança, como tecnologia de criptografia, atualizações ou patches de segurança.
    4. Notificar imediatamente sua Autoridade de Dados quando ciente de qualquer incidente que possa causar uma quebra de segurança ou violação desta política.
  11. Funcionários, fornecedores, parceiros e outras agências governamentais devem primeiro ser autorizados pela equipe designada do órgão ou entidade antes de acessar Recursos de Informação.
  12. Os usuários podem acessar, usar ou compartilhar Recursos de Informação apenas na medida necessária para cumprir as tarefas atribuídas Todos os Recursos de Informação devem ser manuseados com o devido cuidado e confidencialidade. Os usuários que criam, recebem, processam, editam, armazenam, distribuem ou destroem dados que são confidenciais, sensíveis por natureza e/ou regidos por leis, regras ou regulamentações federais, estaduais e municipais devem compreender suas responsabilidades para proteger tais informações.
  13. É permitido o uso pessoal limitado e razoável de Recursos de Informação da Prefeitura, de acordo com esta Política Os usuários devem estar cientes de que todo uso pode ser monitorado e não há expectativa razoável de privacidade no uso destes recursos.
  14. Cada usuário deve evitar todas as atividades que comprometam a segurança, o desempenho ou a integridade dos Recursos de Informação ou que afetem negativamente outros usuários. Plano de Segurança
  15. O Subcomitê de Segurança de Dados, em colaboração com o Escritório de Governança de Dados, EMPREL e Autoridades de Dados, deve desenvolver um plano de segurança que:
    1. seja consistente com a Arquitetura de Dados [link].
    2. defina explicitamente o limite de autorização dos sistemas.
    3. descreva o contexto operacional da Plataforma de Dados em termos de missões e processos de negócio.
    4. forneça a categorização de segurança dos ativos de dados, incluindo a justificativa de suporte.
    5. forneça uma visão geral dos requisitos de segurança de dados.
    6. descreva os controles de segurança implementados ou planejados para atender a esses requisitos, incluindo uma justificativa para as decisões de adaptação.
  16. O plano de segurança de dados, bem como todos os procedimentos e padrões de segurança, devem ser registrados no repositório institucional de artefatos de Governança de Dados. O repositório permitirá que usuários autorizados localizem, gerenciem e usem estes artefatos.
  17. O plano de segurança deve ser revisado em uma frequência definida com base no risco
  18. O plano de segurança também deve ser atualizado para abordar as mudanças para
    1. arquitetura de dados;
    2. plataforma de dados;
    3. problemas identificados durante a implementação do plano; e
    4. avaliações de controle de segurança.

    Violação de Segurança

  19. Conforme estabelecido acima, os usuários e responsáveis pela segurança de dados devem relatar qualquer violação de segurança conhecida ou qualquer incidente que possa causar uma violação de segurança.
  20. Violações de segurança incluem, mas não se limitam a:
    1. tentativas de obter acesso não autorizado a um sistema ou seus dados;
    2. uma interrupção indesejada ou negação de serviço;
    3. descoberta de invasões de rede;
    4. eventos de malware;
    5. O uso não autorizado de um sistema de processamento ou armazenamento de dados;
    6. alterações nas características de hardware, firmware ou software do sistema sem o conhecimento, instrução ou consentimento do proprietário;
    7. uma mudança não planejada, não autorizada ou inesperada nas linhas de base de segurança, incluindo uma mudança não autorizada nos controles, tecnologias ou processos de segurança;
    8. a liberação inadequada de informações de identificação pessoal ou outras informações confidenciais;
    9. roubo ou perda de equipamento de tecnologia da informação (TI) que pode conter informações não públicas; e
    10. uma violação das políticas de segurança da informação.
    11. Uma capacidade de tratamento de violação de segurança de dados será desenvolvida e mantida pelo Subcomitê de Segurança de Dados que inclui processos de preparação, detecção e análise, contenção, erradicação e recuperação
    12. O Subcomitê de Segurança de Dados deve desenvolver e manter um Plano de Resposta a Violações de Segurança de Dados, procedimentos e diretrizes que:
      1. forneça ao Conselho de Governança de Dados um roteiro para a implementação de sua capacidade de resposta a incidentes
      2. descreva a estrutura e organização da capacidade de resposta a incidentes
      3. forneça uma abordagem de alto nível para a capacidade de resposta a incidentes
      4. defina incidentes relatáveis
      5. forneça métricas para medir a capacidade de resposta a incidentes
      6. defina os recursos e o suporte de gerenciamento necessários para manter e amadurecer com eficácia uma capacidade de resposta a incidentes.
    13. Imediatamente ao tomar conhecimento de uma provável violação de segurança, a Autoridade de Dados notificará o Escritório de Governança de Dados e o Subcomitê de Segurança de Dados Estes órgãos e a auditoria interna devem conduzir uma investigação compatível com a natureza da violação
    14. A Prefeitura deve estabelecer uma Comissão Disciplinar de Segurança de Dados, de caráter permanente, com natureza consultiva e julgadora, competente para averiguar questões referentes a possíveis irregularidades relacionadas a proteção e segurança de dados Esta Comissão poderá executar medidas disciplinares cabíveis contra um funcionário, tomadas em resposta a uma violação desta política
    15. Se o evento envolver um assunto criminal, os órgãos de justiças cabíveis devem ser notificados A Controladoria do Município determinará e coordenará as ações de mitigação e investigação de acordo com as leis vigentes e cabíveis
    16. O Subcomitê de Segurança de Dados e órgãos de auditoria interna devem investigar e revisar o incidente com o(s) departamento(s) diretamente afetado(s) pelo incidente. O resultado do processo de investigação deve ser documentado em um relatório formal que será distribuído a todas as partes interessadas e cabíveis. Gestão de Riscos
    17. O Subcomitê de Segurança de Dados, em colaboração com o Escritório de Governança de Dados, EMPREL e Autoridades de Dados, em consulta a Custodiantes de Dados, deve conduzir uma avaliação de risco, incluindo a probabilidade e magnitude do dano, do acesso não autorizado, uso, divulgação, interrupção, modificação ou destruição de ativos de dados e outros Recursos de Informação.
    18. O Subcomitê de Segurança de Dados fica desobrigado de obter autorização para verificar vulnerabilidades nos Recursos de Informação.
    19. O Subcomitê de Segurança de Dados deve empregar ferramentas e técnicas de varredura de vulnerabilidade que facilitem a interoperabilidade entre as ferramentas e automatizem partes do processo de gerenciamento de vulnerabilidade usando padrões para:
      1. enumerar plataformas, falhas de software e configurações inadequadas
      2. formatação de listas de verificação e procedimentos de teste;
      3. medir o impacto da vulnerabilidade;
      4. avaliar os controles de segurança para determinar até que ponto os controles são implementados corretamente, operando como pretendido e produzindo o resultado desejado com relação ao cumprimento dos requisitos de segurança estabelecidos.
    20. O Subcomitê de Segurança de Dados deve documentar os resultados da avaliação de risco e preparar um relatório de avaliação de risco.
    21. O Subcomitê de Segurança de Dados deve revisar os resultados da avaliação de risco.
    22. Cada órgão e entidade deverá corrigir vulnerabilidades legítimas de acordo com uma avaliação de risco realizada pelo Subcomitê de Segurança de Dados.
    23. O Subcomitê de Segurança de Dados deve atualizar a avaliação de risco sempre que houver mudanças significativas na Plataforma de Dados ou ambiente de operação (incluindo a identificação de novas ameaças e vulnerabilidades) ou outras condições que podem afetar o estado de segurança dos Recursos de Informação Sistema de Contas e Senha.
    24. O acesso aos recursos e serviços de TI da Prefeitura será concedido por meio do fornecimento de uma conta de usuário única e senha complexa As contas devem ser fornecidas pelo departamento ou empresa que presta serviço de TI para Prefeitura.
    25. A Prefeitura deve estabelecer padrões e/ou procedimentos para criar, habilitar, modificar, desabilitar e remover contas de usuário.
    26. Cada departamento deve identificar os tipos de conta dos recursos de informação para apoiar sua missão e funções operacionais Os tipos de conta podem incluir, mas não estão limitados a contas de grupo, sistema, aplicativo, convidado/anônimo, emergência e temporário.
    27. Cada órgão ou entidade deve especificar os atributos necessários para usuários autorizados, grupo e associação de função e autorizações de acesso.
    28. Cada órgão ou entidade deve ter a capacidade técnica para garantir o acesso lógico às informações e aos recursos do sistema de acordo com as regras e políticas de controle de acesso.
    29. Os usuários devem ser identificados por um Identificador (ID) de usuário exclusivo para que os indivíduos possam ser responsabilizados por suas ações.
    30. O uso de identidades compartilhadas é permitido apenas onde elas são adequadas, como contas de treinamento ou contas de serviço.
    31. Os registros de acesso do usuário podem ser usados para fornecer evidências para investigações de incidentes de segurança.
    32. O acesso deve ser concedido com base no princípio do menor privilégio, o que significa que cada programa e usuário receberá o menor número de privilégios necessários para concluir suas tarefas. Contingenciamento e Recuperação
    33. O Subcomitê de Segurança de Dados, em colaboração com o Escritório de Governança de Dados, EMPREL, deve estabelecer medidas e procedimentos de planejamento de contingência de dados O planejamento de contingência ajuda a executar uma resposta coerente, organizada, planejada e estratégica às emergências relacionadas a falhas na Plataforma de Dados e outros eventos que impactem na disponibilidade dos dados.
    34. Os planos de contingência devem:
      1. identificar missões essenciais e funções operacionais e requisitos de contingência associados;
      2. fornecer objetivos de recuperação e prioridades de restauração;
      3. abordar funções de contingência, responsabilidades e informações de contato de indivíduos designados, bem como delegações de autoridade, ordens de sucessão e procedimentos de notificação;
      4. abordar a restauração eventual e completa da plataforma, sem deterioração das salvaguardas de segurança originalmente planejadas e implementadas.
    35. Devem ser estabelecidos locais de armazenamento alternativo, incluindo os acordos necessários para permitir o armazenamento e recuperação das informações de backup. Estes locais de armazenamento alternativo devem estar sob proteção de salvaguardas de segurança da informação equivalentes às do local principal.
    36. Devem ser estabelecidos também locais de processamento alternativo, incluindo os acordos necessários para permitir a retomada das operações dos Recursos de Informação para missões essenciais e funções operacionais da Prefeitura dentro de um período de tempo definido consistente com os objetivos de tempo de recuperação quando os recursos de processamento primário não estiverem disponíveis.
    37. A Prefeitura deve garantir que os equipamentos e suprimentos necessários para retomar as operações estejam disponíveis no local alternativo para apoiar a entrega a tempo de suportar o período de tempo definido para a retomada.
    38. Custodiantes de Dados devem conduzir backups periódicos das informações dentro de uma frequência definida consistente com o tempo de recuperação e os objetivos do ponto de recuperação O backup também deve ser protegido em termos de confidencialidade e integridade das informações.
    39. Devem ser testadas as informações de backup dentro de uma frequência definida para verificar a confiabilidade da mídia e integridade da informação. Treinamento
    40. O Subcomitê de Segurança deve desenvolver, implementar e atualizar uma estratégia abrangente de treinamento e conscientização destinada a garantir que os servidores, funcionários e contratados entendam as responsabilidades e procedimentos de segurança de dados.
    41. Cada órgão ou entidade deve administrar treinamento básico de segurança de dados anualmente.
    42. Cada órgão ou entidade deve administrar o treinamento adicional baseado em funções, conforme exigido pelas diretrizes federais, estaduais e locais.
Disponível em “https://wikirecife.recife.pe.gov.br/index.php?title=Política_de_segurança_de_dados&oldid=377