PORTARIA Nº 59, DE 27/5/ 2012.

PORTARIA Nº 59, DE 27 DE ABRIL DE 2012.

Publicação DODF nº 86, de 3/5/12. Págs. 4 a 9.

Torna pública a aprovação da Política de Segurança da Secretaria de Estado de Fazenda do Dis­trito Federal, regulamenta o Comitê de Segurança da Informação (CSI) e dá outras providências.

O SECRETÁRIO DE ESTADO DE FAZENDA DO DISTRITO FEDERAL, em exercício, no uso de suas atribuições regimentais que lhe confere o inciso II, do artigo 165, da Portaria nº 563, de 5 de setembro de 2002, RESOLVE:

Art. 1º Fica instituída a Política de Segurança da Informação no âmbito da Secretaria de Estado de Fazenda do Distrito Federal (PSI/SEF), aprovada pelo Comitê Gestão Estratégica (COGET), na forma do anexo único desta Portaria:

Parágrafo único. A PSI/SEF aplica-se a todas as unidades da estrutura administrativa da Secretaria de Estado de Fazenda do Distrito Federal, e deverá ser fielmente observada por todos os usuários das informações produzidas ou custodiadas, sob pena de responsabilidade, na forma da lei.

Art. 2º Para fins dessa Política, entende-se:

I – Gestor da Tecnologia da Informação: Subsecretario de Tecnologia da Informação e Comunicação (SUTIC);

II – Gestor da Área de Pessoas: Diretor da Diretoria de Gestão de Pessoas (DIGEP);

III – Gestor de Segurança Institucional: Chefe da Unidade de Inteligência Fazendária e Gestão de Riscos (UNIF);

Art. 3º Fica criado o Comitê de Segurança da Informação (CSI), composto da seguinte forma:

I – Chefe da Unidade de Inteligência Fazendária, que o presidirá;

II – Um membro da Diretoria de Gestão de Pessoas (DIGEP/UAG);

III – Um membro da Diretoria de Logística (DILOG/UAG)

IV – Dois membros da Subsecretaria e Tecnologia da Informação e Comunicação (SUTIC);

V – Um membro da Subsecretaria da Receita (SUREC);

VI – Um membro da Subsecretaria do Tesouro (SUTES);

VII – Um membro da Subsecretaria de Contabilidade (SUCON);

§1º Compete ao CSI:

I – Aprovar as regras de proteção dos ativos da SEF e revisá-las periodicamente;

II – Analisar os incidentes de segurança relevantes relativos à Segurança da Informação, gerados pelos usuários das informações da SEF, propondo as providências de revisão e atualização das políticas do Sistema de Gestão de Segurança da Informação;

III – Revisar a PSI anualmente ou quando surgirem fatos que justifiquem;

IV – Revisar periodicamente os documentos do SGSI visando à melhoria contínua e aos avanços no nível de maturidade em Segurança da Informação;

V – Julgar, em segundo grau administrativo, decisão em primeiro grau que nega acesso à infor­mação nos termos da Lei nº 12.527/2011;

VI – Deliberar sobre outros assuntos relevantes ao tema.

§2º As reuniões do CSI, convocadas pelo Presidente, terão quorum mínimo de metade dos membros, sendo um deles necessariamente o Presidente;

§3º As decisões serão tomadas por maioria simples;

§4º Todos os membros do CSI deverão, necessariamente, ter suplente nomeado para o caso de ausência;

§5º A função do componente do CSI/SEF não será remunerada, sendo seu exercício considerado relevante interesse público.

Art. 4º Os termos de referência, projetos básicos, editais de licitação e contratos administrativos elaborados no âmbito da Secretaria de Estado Fazenda deverão conter previsão específica sobre a obrigatoriedade de atendimento às normas da PSI/SEF.

§1º As empresas contratadas e os prestadores de serviços deverão assinar Termo de Confiden­cialidade, cujos modelo sintegram o Anexo único desta Portaria.

§2º As empresas contratadas também deverão demonstrar que possuem mecanismos de segurança que assegurem o sigilo das informações.

§3º O dispositivo no caput deste artigo se aplica a consultores contratados e pesquisadores autorizados, remunerados ou não.

§4º Os contratos em andamento deverão ser ajustados a essas novas regras.

Art. 5º Fica estabelecido o prazo de 90 (noventa) dias para que as unidades administrativas da Secretaria de Estado de Fazenda se adaptem às regras estabelecidas na Política de Segurança da Informação.

Art. 6º Esta Portaria entra em vigor na data de sua publicação.

MARCELO PIANCASTELLI DE SIQUEIRA

 

SUMÁRIO

PREFÁCIO     ...................................................................................................7

INTRODUÇÃO  .................................................................................................7

2. OBJETIVOS  ................................................................................................8

3. PRINCÍPIOS   ...............................................................................................8

3.1 Responsabilidade comum    ..........................................................................8

3.2 Propriedade  ...............................................................................................8

3.3 Gestão Restrita  ..........................................................................................8

3.4 Proporcionalidade  .......................................................................................8

3.5 Necessidade  ...............................................................................................8

3.6 Continuidade  ...............................................................................................8

3.7 Preservação do sigilo  ..................................................................................8

4. CONCEITOS E DEFINIÇÕES   .......................................................................8

5. RESPONSABILIDADES   ................................................................................9

5.1 Responsabilidades dos usuários das informações da SEF  ..............................9

5.2 Responsabilidades dos Gestores de Áreas   ..................................................9

5.3 Responsabilidades dos Gestores da Informação  ...........................................9

5.4 Responsabilidades dos Gestores da Tecnologia da Informação   ....................9

5.5 Responsabilidades dos Gestores da Área de Pessoas  ................................10

5.6 Responsabilidades dos Gestores de Segurança Institucional  ........................10

5.7 Responsabilidades do Comitê de Gestão Estratégica (COGET)  ...................10

5.8 Responsabilidades do Comitê de Segurança da Informação (CSI)  ................10

6. DIRETRIZES GERAIS  .................................................................................10

6.1 Diretrizes de Segurança do Ambiente Humano  .............................................10

6.2 Diretrizes de Segurança do Ambiente Físico  ................................................11

6.3 Diretrizes de Segurança do Ambiente Lógico ................................................11

6.4 Regras específicas dos ambientes físico, lógico e humano  ...........................11

7. AÇÕES E POLÍTICAS DECORRENTES   ......................................................12

7.1 Gestão de Ativos e seus Riscos   ................................................................12

7.2 Classificação das Informações   ..................................................................12

7.3 Política de Controle de Acesso  ..................................................................12

7.4 Política de Backup   ...................................................................................12

7.5 Plano de Continuidade do Negócio  .............................................................12

7.6 Política de Descarte de Documentos  ..........................................................12

8. SANÇÕES   .................................................................................................13

9. REFERÊNCIAS NORMATIVAS   ...................................................................13

10. CONCLUSÃO   ...........................................................................................13

ANEXOS   ........................................................................................................13

 

PREFÁCIO

A Secretaria de Estado de Fazenda do Distrito Federal (SEF) reconhece a importância do geren­ciamento da Segurança da Informação, entretanto as ações de segurança têm sido implementadas de forma reativa e por iniciativas individuais. Diante desse quadro, de acordo com as regras de Governança de Tecnologia da Informação do COBIT, o nível de maturidade da SEF quanto ao gerenciamento dos processos de Segurança da Informação foi identificado como Inicial.

A necessidade da elaboração da Política de Segurança da Informação (PSI) decorre do imperativo da SEF de atender às recomendações dos Tribunais de Contas e da Secretaria de Estado de Transparência e Controle do Distrito Federal, dentre outros órgãos, bem como estruturar as boas práticas já existentes.

Com a implantação da PSI e das demais ações e políticas que dela decorrerão, inaugura-se o Sistema de Gestão de Segurança da Informação (SGSI), buscando-se garantir a proteção das informações e de outros ativos críticos da SEF, com o intuito de assegurar a esta Instituição a continuidade de suas atividades.

Para elaboração da PSI ora apresentada, foram analisadas as necessidades da SEF, o panorama cultural dos usuários das informações e as boas práticas já empregadas, bem como foram visitados outros órgãos de referência e as próprias instalações da SEF.

Diante do cenário identificado e da necessidade premente de se inaugurar esse Sistema, foi efe­tuado o levantamento de primeiro nível do risco dos ativos da SEF com o objetivo de subsidiar essa primeira versão da PSI.

Como paradigmas a serem seguidos, foram consideradas PSIs do Governo Federal, documentos elaborados por outras Secretarias de Fazendas estaduais e ainda aqueles desenvolvidos por Se­cretarias de Estado do Distrito Federal. Com efeito, todos os paradigmas observados, juntamente com as melhores práticas e as regras da ABNT (ISO 27001 e 27002) têm o objetivo comum de implantar um sistema na SEF que distribua responsabilidades, positive diretrizes e inicie um processo contínuo de preocupação com a Segurança da Informação.

Para elaboração do documento inicial – PSI – que compõe o SGSI foi nomeado um Grupo de Trabalho representativo que apresentou proposta de PSI ao Comitê de Gestão Estratégica da SEF (COGET), que a aprovou.

maneira contínua, como Política de Controle de Acesso Lógico e Físico; Política de Backup; Planos de Continuidade do Negócio, contemplando as três principais áreas meio que estruturam a SEF: infraestrutura, pessoas e tecnologia da informação; Política de Descarte de Documentos, entre outras. Esses documentos comporão o SGSI.

Para estruturar o SGSI considerou-se o modelo de abordagem de processo “Plan-Do-Check­-Act” (PDCA), que é aplicado para estruturar todos os processos e documentos que compõem um Sistema de Gestão de Segurança da Informação.

Nesse momento, a SEF se encontra na fase Plan, de planejamento: inaugurando o SGSI com a formalização da PSI e iniciando a elaboração de outras políticas relevantes para a Gestão de Riscos e a melhoria da Segurança da Informação, no intuito de produzir resultados de acordo com as políticas e objetivos globais da Instituição.

Os demais passos, que darão continuidade à operacionalização do SGSI são:

Do (fazer, implementar e operar o SGSI): Implementar e operar a política, controles, processos e procedimentos do SGSI.

Check (checar, monitorar e analisar criticamente o SGSI): Avaliar e, quando aplicável, medir o desempenho de um processo frente à política, objetivos e experiência prática do SGSI e apresentar os resultados para a análise crítica pela Administração Superior.

Act (agir, manter e melhorar o SGSI): Executar as ações corretivas e preventivas, com base nos resultados de auditoria interna do SGSI e da análise crítica pela Administração Superior ou outra informação pertinente, para alcançar a melhoria contínua do SGSI.

Dentre os modelos existentes, foi adotado o modelo de política analítica, porém com a preocu­pação de disponibilizar um texto conciso e claro.

Cumprindo a metodologia empregada, a PSI da SEF faz as seguintes diferenciações:

Princípios são as idéias gerais, abstratas, mas que pautam todas as disposições do SGSI;

Diretrizes são descrições que orientam o que deve ser feito para se alcançar os objetivos esta­belecidos nas Políticas;

Regras são orientações específicas quanto a fazer ou não fazer determinada atividade.

Também se dividiu o tema em três grandes áreas de interesse, nomeadas de ambientes lógico, físico, e humano. As diretrizes gerais orientam as ações naquilo que é comum a todos os Ambien­tes, assim como as diretrizes específicas referem-se a cada um desses Ambientes especialmente.

Esta Política trata das informações públicas e não públicas. Sendo assim, as informações que não são públicas e que devem ser protegidas são intituladas informações confidenciais, como gênero de informação protegida, sem conflitar com futuros detalhamentos e classificações.

Optou-se por utilizar os verbos impositivamente com a finalidade de padronizar as diretrizes de forma que, embora não operacionalizadas, deva ser buscada sua efetivação de forma célere.

Considerando que as informações da SEF são utilizadas por agentes públicos, prestadores de serviço e outras instituições governamentais, adotou-se a nomenclatura “usuários das informações da SEF” para indicar todos aqueles que utilizam os dados produzidos ou custodiados pela SEF e devendo, portanto, submeter-se a esta PSI.

 

GRUPO DE TRABALHO DA POLÍTICA DE

SEGURANÇA DA INFORMAÇÃO DA SEF

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DA SEF

 

INTRODUÇÃO

A Segurança da Informação é um conjunto de ações de proteção aos ativos contra todas as formas de agressões em seu ambiente físico, lógico e humano.

Este documento estabelece diretrizes, princípios, responsabilidades e objetivos para a Política de Segurança da Informação (PSI) da Secretaria de Estado de Fazenda do Distrito Federal (SEF), a qual será adotada e cumprida por todos os servidores, estagiários, prestadores de serviços, e demais usuários que utilizem suas informações, inaugurando o Sistema de Gestão da Segurança da Informação (SGSI) e dando fundamento a todas as ações de proteção às informações da SEF, em atendimento às recomendações dos Tribunais e de outros órgãos de controle.

A Segurança da Informação é matéria atinente a todas as atividades da SEF, sejam atividades meio ou fim, devendo essa responsabilidade ser compartilhada por todas suas áreas.

A informação não está apenas nos sistemas informatizados, mas também em papéis, documentos e pessoas. Portanto, para o sucesso desta PSI é necessário contar com o comprometimento de todos os gestores, servidores, estagiários e prestadores de serviços, usuários das informações da SEF.

Diversas ações e outras políticas de Segurança da Informação serão implementadas com o fim de padronizar e regrar os processos institucionais da SEF.

2. OBJETIVOS

a. Sistematizar melhores práticas, instrumentos jurídicos, normativos e organizacionais com a finalidade de garantir proteção aos ativos e informações de propriedade da SEF ou sob sua guar­da, definindo ações e responsabilidades que pautem e normatizem a conduta de seus usuários;

b. Buscar continuamente a autenticidade, a disponibilidade, a confidencialidade, a integridade e o não repúdio das informações da SEF;

c. Impedir ou reduzir os riscos de erros, ameaças, ataques ou qualquer uso não apropriado dos ativos da SEF;

d. Garantir a continuidade dos serviços prestados pela SEF;

e. Garantir interna e externamente a interoperabilidade dos sistemas de informação de forma segura.

3. PRINCÍPIOS

3.1 Responsabilidade comum: Todos os usuários das informações, produzidas ou custodiadas pela SEF, são responsáveis pelo cumprimento das normas de Segurança da Informação.

3.2 Propriedade: As informações produzidas pela SEF são de sua propriedade e por ela deverão ser mantidas.

3.3 Gestão Restrita: A gestão da informação da SEF somente será exercida por servidor ocupante de cargo público efetivo.

3.4 Proporcionalidade: A despesa para a proteção dos ativos deverá ser compatível com seu nível de criticidade e valor para a SEF.

3.5 Necessidade: O acesso às informações confidenciais é dado ao usuário autorizado com a devida justificativa para conhecê-las.

3.6 Continuidade: As ações de Segurança da Informação serão constantes, sendo revisadas e planejadas continuamente de modo a proteger a SEF tanto em situação de normalidade quanto em estado de contingência.

3.7 Preservação do sigilo: As informações, dados e conhecimentos da SEF, classificados como confidenciais, serão protegidos.

4. CONCEITOS E DEFINIÇÕES

Acesso remoto: acesso efetuado por meio de um computador ou outro equipamento eletrônico à distância.

Acesso restritivo: controle de circulação em área onde se localiza ativo que necessita de proteção.

Ameaça: causa potencial de um incidente indesejado que pode resultar em dano para um sistema ou organização.

Atividade crítica: conjunto de ações que causam impacto negativo a uma organização no caso de sua interrupção.

Ativo: qualquer bem que tenha valor para a organização.

Ativo de informação: patrimônio composto por todos os dados e informações geradas e mani­puladas durante a execução dos sistemas e processos vinculados a uma organização.

Autenticidade: qualidade que garante ter a informação sido produzida, expedida, recebida ou modificada por determinado indivíduo, equipamento ou sistema.

Confidencialidade: qualidade que determina que uma informação não seja disponibilizada ou revelada para partes não autorizadas.

Controle de acesso: mecanismo utilizado para gerenciar o ingresso a determinado ambiente.

Criticidade: qualidade do ativo definido de acordo com a sua importância para a continuidade do negócio da organização.

Custódia: guarda de ativos próprios ou produzidos por outrem.

Diagrama topológico: representação gráfica de uma estrutura lógica.

Diretriz: descrição que orienta o que deve ser feito para se alcançar os objetivos estabelecidos nas políticas de uma organização.

Disponibilidade: qualidade da informação que pode ser conhecida e utilizada quando requerida.

Documento: unidade de registro de informações, qualquer que seja o suporte ou formato;

Estado de contingência: situação de anormalidade que exige o acionamento de um Plano de Continuidade.

Gestor da informação: pessoa ou área funcional que gerencia o acesso a determinadas informações.

Gestor de área: responsável por qualquer unidade de uma organização. Na SEF, são os chefes de núcleo, gerentes, diretores e todos os demais dirigentes que mantêm subordinados sob sua responsabilidade.

Impacto: conseqüência de evento anormal que causa, ou pode causar, interrupção do serviço ou redução em sua qualidade.

Incidente de segurança: qualquer evento que resulte no descumprimento da Política de Segurança da Informação.

Integridade: qualidade da informação não modificada, inclusive quanto à origem, trânsito e destino;

Interoperabilidade: capacidade de dois ou mais sistemas interagirem e intercambiarem dados de acordo com um método definido, de forma a obter os resultados esperados.

Informação: resultado do processamento, manipulação e organização de dados.

Logs: arquivos de anotações ou listas sistemáticas de registro de eventos ocorridos.

Melhores práticas: atividade ou processo usado com sucesso por múltiplas organizações.

Não repúdio: garantia de segurança de informação que impede uma entidade de negar ter par­ticipado de uma dada operação.

Negócio: atividade finalística de uma organização. Na SEF, por exemplo, destacamos a ação de arrecadar, fiscalizar, contabilizar e controlar os recursos do Distrito Federal.

Nível de maturidade: grau de desenvolvimento em que uma organização se encontra quanto ao gerenciamento do processo de segurança.

Perímetro de segurança: delimitação de área de proteção de um ativo.

Pessoa politicamente exposta: agente público que desempenha ou tenha desempenhado cargos, empregos ou funções públicas relevantes, assim como seus representantes e familiares (art. 3º, deliberação no. 02, 01/12/2006, Coremec).

Plano de Continuidade de Negócio (PCN): documento que estabelece mecanismos para resta­belecer a atividade de uma organização, em caso de interrupção.

Política de Segurança da Informação (PSI): conjunto de diretrizes destinadas a definir a proteção adequada dos ativos de uma organização, atribuindo responsabilidades aos indivíduos que lidam com esses ativos.

Política analítica: modelo de documento que aborda todos os assuntos considerados relevantes de uma Política, de forma abrangente. É o oposto do modelo sintético.

Prestador de serviço: Pessoa física ou jurídica contratada por uma organização, incluindo as atividades de estágio, assessoria, consultoria, cooperação interinstitucional, bem como os em­pregados da pessoa jurídica que realizem essas atividades.

Rede: conjunto de hardware e software que permite a comunicação, compartilhamento de in­formação e recursos.

Risco: possibilidade de ocorrência de evento sob a forma de ameaça ou oportunidade influen­ciando as atividades de uma organização.

Segurança da Informação: mecanismo para preservação da confidencialidade, integridade, dis­ponibilidade, autenticidade, não repúdio e criticidade da informação.

Servidor: ocupante de cargo, emprego ou função pública. Esse conceito abrange o servidor concursado ou não.

Sigilo da Informação: aspecto do ativo que exige proteção quanto à sua divulgação.

Sistema de Gestão da Segurança da Informação (SGSI): conjunto de políticas e ações que visam à proteção dos ativos de uma organização.

Storage: equipamento eletromagnético para gravação de dados a serem acessados por um processador.

Termo de Confidencialidade: documento em que, tanto a pessoa quanto a empresa prestadora de serviços, se comprometem a cumprir as normas de segurança da organização.

Termo de Responsabilidade: documento em que o servidor e o estagiário se comprometem a cumprir as normas de segurança da organização.

Usuário: servidores, estagiários, prestadores de serviços, e qualquer outra pessoa que utilize as informações de uma organização.

5. RESPONSABILIDADES

A Segurança da Informação será uma responsabilidade assumida por todos os usuários, gestores de áreas e gestores da informação. A área de Tecnologia da Informação custodia a informação e executa os serviços dela decorrentes.

5.1 Responsabilidades dos usuários das informações da SEF

a. Observar os princípios e diretrizes estabelecidos nesta PSI, relatando aos gestores qualquer situação que possa representar ameaça aos ativos, como quebra da segurança, fragilidade, mau funcionamento, vírus, acesso indevido ou desnecessário a pastas/diretórios de rede, acesso inde­vido à internet ou programas instalados sem conhecimento da área de Tecnologia da Informação;

b. Responder pela guarda e proteção dos recursos da área de Tecnologia da Informação e de outras áreas proprietárias de informação colocados à sua disposição;

c. Participar do inventário dos ativos e do Gerenciamento do Risco de suas áreas, colaborando para a elaboração e melhoramento do SGSI;

d. Responder pelo uso exclusivo e intransferível de suas senhas de acesso;

e. Participar de processos educativos oferecidos pela SEF, visando ao conhecimento operacional necessário para a correta utilização dos recursos;

f. Utilizar somente sistemas ou recursos de rede interna e externa autorizados;

g. Não disponibilizar a terceiros dados e informações de propriedade da SEF de forma indevida e sem autorização;

h. No caso de usuário executor de contrato, colher os Termos de Confidencialidade dos presta­dores de serviço, juntando ao processo.

5.2 Responsabilidades dos Gestores de Áreas

a. Zelar e fazer cumprir a PSI;

b. Identificar desvios de conduta na utilização das informações obtidas durante o exercício das funções de seus subordinados e adotar as medidas preventivas e corretivas apropriadas;

c. Aplicar medidas que visem a garantir que o pessoal sob sua supervisão proteja informações da SEF a que tem acesso;

d. Proteger, em nível físico e lógico, os ativos de informação e de processamento da SEF rela­cionados com sua área de atuação;

e. Impedir o acesso de pessoal desligado de área ou função aos ativos de informação sob sua responsabilidade, utilizando-se dos mecanismos previstos no plano de desligamento a ser implementado;

f. Comunicar formalmente à área de Tecnologia da Informação quais os níveis de acesso às informações da SEF que poderão ser concedidos aos usuários sob sua supervisão;

g. Comunicar formalmente aos Gestores da Área de Pessoas o desligamento (exoneração, de­missão, transferência, cessão) de usuários dos sistemas de informação;

h. Comunicar formalmente aos Gestores da Área de Pessoas o afastamento de usuários dos sistemas de informação que estejam licenciados, de férias ou ausentes por qualquer motivo, por mais de trinta dias, para providenciar suspensão do cadastro dos usuários;

i. Comunicar formalmente, com antecedência, à área de Logística mudanças no ambiente físico para atualização do layout e documentação das estruturas da SEF;

j. Colaborar para o levantamento de dados para o Gerenciamento de Riscos da área sob sua gestão e informar novos riscos ainda não mapeados na área em que atua;

k. Enviar propostas com o fim de aprimorar o SGSI vigente;

l. Solicitar aos Gestores da Informação autorização para acesso de usuários aos sistemas de informação, sempre que houver alterações nos sistemas ou alteração de função desses usuários, em suas respectivas áreas de atuação;

m. Advertir formalmente o usuário das informações da SEF e aplicar as sanções cabíveis quando este violar normas de Segurança da Informação, sempre com relatório circunstanciado à área de Segurança Institucional;

n. Consultar a área de Tecnologia da Informação quando da solicitação de compra ou alteração de hardwares e softwares de sua área para fins de homologação;

o. Restringir e controlar o acesso e os privilégios de usuários externos às informações sob sua gestão.

5.3 Responsabilidades dos Gestores da Informação

a. Participar da definição dos critérios para estabelecer perfis de acesso a informações sob sua responsabilidade;

b. Limitar o prazo de validade das contas de prestadores de serviço ao período da contratação;

c. Excluir as contas inativas;

d. Fornecer acesso diferenciado somente aos usuários que necessitem efetivamente destas prer­rogativas, mantendo o devido registro e controle;

e. Informar aos Gestores da Área de Pessoas afastamentos, substituições e quaisquer mudanças de responsabilidade da gestão da informação.

5.4 Responsabilidades dos Gestores da Tecnologia da Informação

a. Executar as regras de proteção estabelecidas pela PSI;

b. Aplicar restrições de acesso à rede e aos seus ativos, especialmente no que se refere aos acessos remotos e externos à rede da SEF;

c. Promover, pelo menos uma vez ao ano, ou em função de necessidade extraordinária, o inven­tário dos ativos da área de Tecnologia da Informação das unidades da SEF;

d. Elaborar e atualizar, em parceria com a área de Segurança Institucional e em conjunto com as áreas, o Plano de Continuidade do Negócio (PCN);

e. Implantar o processo de Gerenciamento de Riscos Tecnológicos e revisá-lo anualmente;

f. Detectar, identificar e registrar as violações ou tentativas de acesso não autorizadas, informando à área de Segurança Institucional;

g. Manter registro das atividades de usuários (logs), de maneira a abranger o máximo de ações possíveis dentro dos sistemas e pelo maior tempo possível. Os registros devem conter hora e data das atividades, identificação do usuário, comandos e argumentos executados, identificação da estação local ou da estação remota que iniciou a conexão, entre outros;

h. Restringir o uso de softwares não homologados pela área de Tecnologia da Informação;

i. Divulgar, em parceria com os Gestores de Segurança Institucional e da Área de Pessoas, as regras e orientações da PSI por meio de campanhas internas permanentes, seminários de cons­cientização, material promocional, treinamentos e quaisquer outros meios, de maneira a criar uma cultura de segurança dentro da SEF;

j. Executar a proteção a pessoas politicamente expostas a ser implementada;

k. Propor treinamento em Segurança da Informação;

l. Fornecer à área de Segurança Institucional as informações pertinentes à Segurança da Informação.

5.5 Responsabilidades dos Gestores da Área de Pessoas

a. Manter o cadastro de Gestores da Informação atualizados;

b. Prever no Plano de Capacitação da SEF treinamento em Segurança da Informação;

c. Comunicar mensalmente à área de Segurança Institucional e à área de Tecnologia da Infor­mação o desligamento (exoneração, demissão, transferência, cessão, aposentadoria, óbito) de usuários dos sistemas de informação;

d. Comunicar mensalmente à área de Segurança Institucional e à área de Tecnologia da Informação os usuários dos sistemas de informação licenciados, de férias ou afastados por qualquer motivo;

e. Colher as assinaturas nos Termos de Responsabilidade dos servidores e estagiário da SEF e mantê-los em seu dossiê funcional;

f. Elaborar PCN em Gestão de Pessoas.

5.6 Responsabilidades dos Gestores de Segurança Institucional

a. Secretariar, juntamente com a área de Desenvolvimento Institucional, o Comitê de Gestão Estratégica (COGET), no que se refere a assuntos relacionados à Segurança Institucional e da Informação;

b. Decidir sobre liberação e bloqueio de acesso à rede da SEF;

c. Receber denúncias de ameaças a ativos;

d. Fiscalizar a execução dos controles exercidos pela área de Segurança da Tecnologia da Infor­mação e propor revisão quando necessário;

e. Decidir sobre casos omissos no SGSI;

f. Gerir sistema de proteção a pessoas politicamente expostas a ser implementado;

g. Analisar e dar encaminhamento às situações de violação ou tentativas de acesso não autorizado identificadas pela área de Tecnologia da Informação;

h. Coordenar a elaboração, revisão e atualização do PCN da SEF;

i. Coordenar o processo de Gerenciamento de Riscos das áreas da SEF e revisá-lo periódica e preventivamente, visando à definição proativa de ações para proteção dos ativos da SEF;

j. Decidir sobre as restrições de acesso, no ambiente lógico da SEF, a ser aplicadas aos respon­sáveis pelo descumprimento da PSI.

5.7 Responsabilidades do Comitê de Gestão Estratégica (COGET)

a. Aprovar a PSI e demais políticas que dela decorram;

b. Prover meios para a disseminação da PSI e a cultura de Segurança da Informação, prevendo orçamento para esse fim;

c. Aprovar as diretrizes propostas pelos órgãos do SGSI e viabilizá-las.

5.8 Responsabilidades do Comitê de Segurança da Informação (CSI)

a. Aprovar as regras de proteção dos ativos da SEF e revisá-las periodicamente;

b. Analisar os incidentes de segurança relevantes relativos à Segurança da Informação gerados pelos usuários das informações da SEF, propondo as providências de revisão e atualização das políticas do SGSI;

c. Revisar a PSI anualmente ou quando surgirem fatos que justifiquem;

d. Revisar periodicamente os documentos do SGSI visando à melhoria contínua e aos avanços no nível de maturidade em Segurança da Informação;

e. Julgar, em segundo grau administrativo, decisão em primeiro grau que nega acesso à infor­mação nos termos da Lei 12.527/2011

f. Deliberar sobre outros assuntos relevantes ao tema.

6. DIRETRIZES GERAIS

a. O uso de ativos será restrito às atividades das áreas, vedando-se o uso para fins pessoais. As exceções toleradas serão reguladas em política específica e serão pautadas pela razoabilidade, moralidade e racionalização dos recursos;

b. A Segurança da Informação será objeto de contínuo processo educativo.

c. Os ambientes humano, físico e lógico serão devidamente documentados e atualizados, de forma a preservar o histórico das estruturas da SEF;

d. Os contratos de prestação de serviços que envolvam ativos críticos, obrigatoriamente, deverão conter cláusula de confidencialidade e sanção por seu descumprimento;

e. A interoperabilidade dos sistemas de informação da SEF com os demais órgãos e instituições será garantida de forma segura;

f. Os compartilhamentos, disponibilizações, autorizações e respectivos níveis de acesso às in­formações da SEF serão concedidos em razão da atividade exercida e da estrita necessidade do conhecimento dos dados a serem franqueados.

6.1 Diretrizes de Segurança do Ambiente Humano

6.1.1 O Processo de Admissão

a. Os servidores integrantes de carreiras da SEF e de outros órgãos ou entidades com lotação na SEF assinarão Termo de Responsabilidade sobre o conhecimento e observância da PSI;

b. No processo de admissão, o curso de formação para os servidores das carreiras da SEF conterá disciplina relativa à Segurança da Informação;

c. Serão efetuadas gestões para inclusão dessa disciplina para capacitação das demais carreiras junto aos órgãos e entidades do complexo administrativo do DF;

d. As empresas contratadas e os prestadores de serviço, por sua vez, assinarão o Termo de Confidencialidade.

6.1.2 O processo de acompanhamento e educação contínua

Cabe às áreas de Gestão de Pessoas e de Segurança da Informação, conjuntamente:

a. Programar capacitação constante sobre Segurança da Informação, com periodicidade, no mínimo, anual;

b. Promover eventos sobre Segurança da Informação (palestras, workshops, encontros);

c. Promover orientação aos prestadores de serviços continuados diretamente ligados à SEF;

d. Promover a avaliação de desempenho dos servidores da SEF com requisitos de Segurança da Informação;

e. Orientar o processo de avaliação de desempenho para fins de identificação da necessidade de treinamento em Segurança da Informação.

A participação em treinamentos de Segurança da Informação, o período desempenhado na fun­ção de Gestor da Informação, bem como o atendimento às normas do SGSI serão considerados requisitos para progressão funcional e para avaliação dos gestores da SEF.

6.1.3 O Processo de Desligamento

No desligamento definitivo, os servidores, estagiários e prestadores de serviços terão todas suas permissões de acesso canceladas, bem como serão recolhidas suas credenciais de acesso físico.

6.1.4 O Processo de liberação de setor

No processo de troca de setor, os Gestores das Áreas, especialmente nas atividades críticas, providenciarão a revisão dos acessos lógico e físico dos servidores, estagiários e prestadores de serviços pertinentes a cada setor.

6.2 Diretrizes de Segurança do Ambiente Físico

a. A entrada e circulação nas áreas e instalações da SEF serão franqueadas mediante identificação prévia;

b. As instalações físicas serão planejadas visando a obstar o acesso aos ativos críticos da SEF;

c. As áreas e instalações da SEF disporão de controle de acesso restritivo, permanente e integra­do, com registro, autorização e restrições definidas de maneira padronizadas a fim de impedir acessos indesejados e agressões aos seus ativos;

d. As instalações que mantêm ativos críticos serão mantidas seguras, protegidas por perí­metros de segurança definidos, barreiras, controles de acesso apropriados e responsáveis formalmente definidos;

e. As áreas e instalações da SEF serão monitoradas de forma contínua, integrada e eficiente;

f. A entrada, movimentação ou saída de ativos será controlada mediante procedimento de registro e autorização das áreas responsáveis de forma integrada e eficiente;

g. A infraestrutura da SEF será protegida com implantação de PCN.

6.3 Diretrizes de Segurança do Ambiente Lógico

a. Os recursos e informações serão controlados e monitorados pela SEF para garantir o uso estrito e correto dos mesmos;

b. As informações produzidas ou custodiadas pela SEF serão protegidas contra perda, alteração, extração, acessos e usos indevidos, com adoção de procedimentos específicos e adequados ao seu grau de criticidade;

c. O acesso será concedido a usuários, sempre precedido de autorização formal;

d. A configuração da rede local será de padrão restritivo, com manutenção de sistema de controle de acesso por perfil diferenciado compatível com as responsabilidades e as atividades de cada usuário;

e. O compartilhamento de senha será reprimido;

f. A aquisição ou contratação de serviços de desenvolvimento, instalação e uso de sistemas e equipamentos será homologada e/ou autorizada pela área de Tecnologia da Informação;

g. Os registros de violações e tentativas serão mantidos para fins de adoção de medidas corre­tivas, legais e de auditoria;

h. A sustentação dos sistemas e recursos que suportam funções críticas para o negócio da SEF será garantida pela implantação de PCN específico;

i. A configuração dos ativos tecnológicos da SEF sempre será conferida pela área de Tecnologia da Informação na instalação inicial para detecção e correção de vulnerabilidades;

j. A documentação, o diagrama topológico, a configuração e o inventário dos recursos lógicos são de propriedade da SEF e serão mantidos atualizados;

k. A Política de Controle de Acesso preverá senhas individuais, secretas, intransferíveis e prote­gidas com grau de segurança compatível com a criticidade da informação associada.

6.4 Regras específicas dos ambientes físico, lógico e humano

a. Os sistemas da SEF serão protegidos por meio de controle de acesso lógico eficaz, sendo exigido, no caso de controle por senha, troca obrigatória no primeiro acesso e periodicamente;

b. Todo serviço de rede não autorizado será bloqueado ou desabilitado;

c. O uso dos ativos da SEF é vedado para constranger, assediar, ofender, caluniar, ameaçar ou causar prejuízos a qualquer pessoa física ou jurídica, para fins ilícitos, pornográficos, que incitem à violência, à desobediência civil, à comercialização de bens e serviços de natureza particular, bem como para veicular opiniões político-partidárias, racistas ou étnicas, homofóbicas, religiosas ou de qualquer tipo não relacionadas às atividades funcionais;

d. A entrada dos servidores, estagiários e outros prestadores de serviços nos espaços físicos da SEF ocorrerá com apresentação de identificador do tipo crachá. Para os servidores e prestado­res de serviços continuados, o identificador será de caráter único, pessoal, intransferível e com validade estabelecida, a fim de permitir seu reconhecimento;

e. Nas instalações da SEF, todas as pessoas utilizarão identificação visível e informarão à segu­rança a presença de qualquer pessoa não identificada que estiver desacompanhada;

f. Os sistemas informatizados serão configurados para inabilitação por falta de atividade (time­-out); mensagem de restrição de acesso quando não compatível com o perfil do usuário; infor­mação do último acesso ao sistema; dentre outras medidas;

g. Todos os usuários observarão às exigências para manipulação da informação, conforme defi­nidas pelo seu proprietário (criador) e de acordo as diretrizes do SGSI;

h. A divulgação de informações confidenciais para qualquer pessoa (usuário ou não da rede da SEF) será proibida, exceto quando previamente autorizada;

i. A impressão de informações críticas será liberada mediante ação do usuário (comando) na própria impressora;

j. A movimentação física das informações confidenciais demandará o uso de transporte adequado;

k. Toda informação confidencial em trânsito será colocada em envelope opaco, lacrado e identifi­cado como confidencial. Se a informação estiver armazenada em mídia de computador (disquete, CD-ROM, DVD, pen drive) será criptografada, inclusive quando for enviada por redes externas, como a internet, observando-se sempre o disposto na legislação vigente para esses casos;

l. As informações confidenciais desnecessárias, cujas exigências legais ou regulatórias para sua retenção não se aplicarem mais, serão descartadas na forma estabelecida em política específica.

m. A informação crítica em papel será eliminada com o uso de fragmentador, incinerador ou outro meio seguro;

n. A informação crítica, armazenada em CD-ROMS, fitas magnéticas, dispositivos de gravação ótica, pen drives, cartões de memória ou em quaisquer outros meios magnéticos será apagada por meio de programas desenvolvidos para essa finalidade ou destruída por fragmentadoras.

o. A senha segura conterá as seguintes características: conjunto de caracteres permitidos, tamanho mínimo e máximo, prazo de validade máximo, forma de troca e restrições específicas, entre outras;

p. As mensagens e documentos eletrônicos estarão sujeitos às mesmas leis e normas aplicáveis a documentos escritos.

7. AÇÕES E POLÍTICAS DECORRENTES

7.1 Gestão de Ativos e seus Riscos

Como subsídio para a elaboração das outras políticas componentes do SGSI, os ativos da SEF serão inventariados, com definição de seus responsáveis, bem como seu uso estará em confor­midade com os princípios e normas de Segurança da Informação.

Ativos estão submetidos a riscos. Riscos são, por sua vez, um conjunto de eventos que podem ocorrer sob a forma de ameaças ou de oportunidades que, caso se concretizem, influenciam negativamente ou positivamente a consecução das atividades de qualquer instituição.

A necessidade de gerenciar riscos decorre da probabilidade de ocorrerem fatores, internos ou externos, cujo desencadeamento pode alterar o resultado esperado em uma dada atividade. A análise dos riscos envolve a avaliação e a atribuição de valores aos ativos, sendo necessário conhecer previamente suas fraquezas e vulnerabilidades, para estabelecer assim os níveis de aceitabilidade do risco e aplicação do tratamento adequado.

Tanto nesta como nas demais etapas do Gerenciamento de Ativos e Riscos é necessária a parti­cipação dos gestores das áreas e de seus colaboradores.

7.2 Classificação das Informações

A implementação de uma boa política de segurança pressupõe o conhecimento da importância das diversas informações recebidas, utilizadas, armazenadas e transmitidas pela SEF. Para que as informações tenham o grau de autenticidade, disponibilidade, confidencialidade e integridade esperado é necessário estabelecer requisitos e critérios que as classifiquem e dimensionem sua importância para a instituição.

O sistema de Classificação das Informações definirá os níveis de proteção aos ativos e determinará a necessidade de medidas especiais de tratamento, bem como subsidiará a elaboração do PCN.

Toda informação gerada deverá ser classificada quanto ao seu valor, requisitos legais, criticidade e necessidade de compartilhamento, obedecendo a uma metodologia de classificação de acordo com as características das atividades da SEF, de modo a garantir seu armazenamento, proteção

de acesso e uso adequado. Os sistemas e equipamentos utilizados para o armazenamento de informações devem receber a mesma classificação dada à informação neles mantida.

É importante destacar que a classificação desse ativo da SEF será resultado das informações fornecidas pelos Gestores da Informação e das Áreas.

7.3 Política de Controle de Acesso

7.3.1. Físico

A segurança física consiste no gerenciamento do acesso a uma propriedade, área ou instalação. Esse controle de acesso pode ser obtido por meio de pessoas (um guarda, segurança ou recep­cionista); por meios mecânicos como fechaduras e chaves; ou por outros meios, como sistemas baseados em cartões de acesso.

O controle de acesso tem como objetivo proteger pessoas, instalações e os demais ativos contidos nesses espaços contra perda, violação, ou qualquer tipo de ingerência não autorizada.

Para isso, esta PSI definirá as orientações e melhores práticas necessárias ao controle do acesso físico a todas as instalações envolvidas na guarda dos ativos da SEF, impondo às áreas proce­dimentos padronizados, sempre se adequando às mudanças nos níveis de ameaça, exigências e soluções de novas tecnologias.

7.3.2 Lógico

Os dados, as informações e os sistemas de informação da SEF e sob sua guarda devem ser pro­tegidos contra ameaças e ações não autorizadas, acidentais ou não, de modo a reduzir riscos e garantir a integridade, confidencialidade e disponibilidade destes ativos.

Para tanto, devem ser definidas diretrizes e ações principalmente para a criação e adminis­tração de contas de acesso; acesso à rede corporativa de computadores; acesso aos ativos de informação.

De forma geral, apenas usuários autorizados terão acesso aos recursos computacionais; usuários acessarão apenas os recursos necessários para a execução de suas tarefas; o acesso aos recur­sos críticos do sistema será monitorado e restrito e usuários não poderão executar transações incompatíveis com sua função.

7.4 Política de Backup

O objetivo principal desta Política é garantir a salvaguarda dos sistemas em produção mantendo sua disponibilidade. Para uma efetiva Política de Backup vários recursos devem ser avaliados e disponibilizados, como: infra-estrutura (rede de dados, storage, hardware), janelas de backup (ciclo de atualização de dados) e análise do volume de dados.

Os backups devem ser automatizados por sistemas de agendamento para que sejam preferencial­mente executados fora do horário comercial em períodos em que há nenhum ou pouco acesso de usuários ou processos automatizados aos sistemas. Em situação de erro do backup, é necessário que ele seja realizado no primeiro horário disponível, tão logo o responsável pela área tenha identificado e solucionado o problema.

7.5 Plano de Continuidade do Negócio

A possibilidade de ocorrências anormais, cujas consequências possam provocar danos a pes­soas, ao meio ambiente e a bens patrimoniais, inclusive de terceiros, devem ter, como atitude preventiva, um Plano de Continuidade de Negócio (PCN). Este consistirá na elaboração de estratégias e ações com a finalidade de garantir que serviços essenciais sejam restabelecidos na ocorrência de interrupções.

O desenvolvimento de um PCN pressupõe:

Levantar os ativos e atividades críticas para a instituição e os sistemas que dão suporte a essas atividades;

Avaliar os impactos, na ocorrência de ameaças, e identificar como, quem e em quanto tempo se deve solucioná-los.

A manutenção das atividades da SEF, dadas as sua especificidades, implica a participação im­prescindível de todos os servidores na concepção do PCN.

Os termos ‘plano de recuperação de negócios’, ‘plano de recuperação de desastres’ e ‘plano de contingência’ são sinônimos utilizados para nomear PCN.

7.6 Política de Descarte de Documentos

A proteção dos ativos da SEF deverá estar presente em todo ciclo de sua existência, necessitando de cuidado especial, inclusive, para a eliminação destes.

Para tanto, a Política de Descarte de Documentos deve representar um conjunto de regras que venham disciplinar, no âmbito da SEF, como serão descartados documentos e outros ativos que não possam ser eliminados de forma convencional.

O descarte de documentos deverá se basear no Código de Classificação de Documento de Arquivo/ Tabela (Resolução nº 04/96 do Conselho Nacional de Arquivos – CONARQ).

8. RESPOSTA AOS INCIDENTES

8.1 Restrição de acesso

Com a finalidade de garantir a adequada utilização dos recursos de Tecnologia da Informação, os usuários que infringirem os dispositivos desta PSI estarão sujeitos à redução, suspensão, temporária ou permanente do acesso.

A restrição do acesso será operacionalizada pela área de Tecnologia da Informação que deverá zelar pela proporcionalidade entre a ação apurada e a restrição imposta.

Em caráter excepcional, a área de Tecnologia da Informação poderá suspender temporariamente qualquer conta, independente de infração. O ato de suspensão será motivado e relacionado com a preservação da integridade dos recursos computacionais, dos serviços aos usuários ou dos dados.

8.2 Sanções

O descumprimento das disposições desta SGSI é considerado incidente de segurança, e as sanções pela violação às políticas de Segurança de Informação podem ser de ordem civil, administrativa e penal.

Na esfera civil, o infrator estará sujeito a ressarcir à Administração na precisa extensão do dano apurado, consoante dicção do artigo 944 do Código Civil Brasileiro. Nessa hipótese incidirão sobre o montante os encargos legais a partir da ocorrência do evento danoso.

Na esfera administrativa, o infrator sujeitar-se-á às infrações disciplinares, previstas no Título VI do Estatuto do Servidor do DF (LC nº 840/2011), sempre que sua conduta puder ser enquadrada nas hipóteses de violação de deveres e proibições.

Na esfera penal, o agente que violar as Políticas de Segurança será incurso nas penas previstas nos artigos 153 e 154 do Código Penal, ou, pelo princípio da especialidade, poderá sofrer a imputação de apenamento referente a um dos delitos previstos na Lei nº 9.983/2000 quando sua conduta estiver tipificada por algum dos delitos previsto na referida legislação extravagante.

9. REFERÊNCIAS NORMATIVAS

Lei Nº 12.527, de 18 de novembro de 2011

Regula o acesso a informações dos órgãos governamentais

Lei Nº 2.572, de 20 de julho de 2000

Dispõe sobre a prevenção das entidades públicas do DF com relação aos procedimentos prati­cados na área de informática

Decreto Nº 25.750, de 12 de abril de 2005

Regulamenta a Lei Nº 2.572

Normas ABNT NBR ISO/IEC 27001 e 27002

Instituem as melhores práticas para Gestão da Segurança da Informação

COBIT - 4.1 – Control Objectives for Information and related Technology

Institui e promove um modelo de controle para governança de TI

10. CONCLUSÃO

Este documento, responsável pela instituição da PSI da SEF, norteará a elaboração de outros documentos relacionados à Segurança da Informação, os quais comporão o SGSI e deverão observar as diretrizes e terminologias aqui apresentadas no intuito de assegurar um padrão documental.

Os dispositivos aqui estabelecidos apresentam as principais atividades a serem desenvolvidas. A sua priorização será definida pelos Gestores e Comitês aqui nominados.

Com esta PSI, a SEF reafirma seu compromisso com a segurança de seus ativos e a prestação de serviços de excelência à sociedade e reitera aos usuários de suas informações a responsabilidade no cumprimento da Política ora apresentada.

As questões omissas, dúvidas, sugestões ou ocorrências relevantes devem ser prontamente en­caminhadas às áreas de Tecnologia da Informação e de Segurança Institucional da SEF.

 

ANEXOS

 

TERMO DE RESPONSABILIDADE

Conforme dispõem os normativos da Política de Segurança da Informação da Secretaria de Estado de Fazenda do Distrito Federal, declaro ter conhecimento das restrições de uso das informações ou quaisquer ativos disponibilizados para nenhum outro fim que não seja de interesse público.

Declaro também ter ciência das responsabilidades administrativas, civis e criminais pelo uso indevido dos ativos, inclusive por ofensa à honra, violação de direitos de reserva e infração de propriedade intelectual ou outros direitos.

Declaro, por fim, estar ciente de que os órgãos responsáveis desta Secretaria, de acordo com a Política de Segurança de Informação:

a) Reservam-se o direito de rescindir o acesso aos ativos, a qualquer momento, sem comunicação prévia, com o que, desde já, manifesto minha concordância;

b) Poderão introduzir modificações nos normativos da presente Política de Segurança da In­formação da Secretaria de Estado de Fazenda do Distrito Federal, por meio de comunicação escrita ou eletrônica, pelo que as dou por recebidas, certas e aceitas quando de meu simples e subseqüente acesso a qualquer recurso de Tecnologia da Informação.

Nome:_____________________________________________________

Matrícula:___________ CPF: ______________Data: _______________

Assinatura:_________________________________________________

 

TERMO DE CONFIDENCIALIDADE CORPORATIVO

 

CLÁUSULA PRIMEIRA – DO OBJETO

O objeto deste termo é a proteção das INFORMAÇÕES CONFIDENCIAIS disponibilizadas pela Secretaria de Estado de Fazenda, em razão do contrato celebrado entre as partes.

CLÁUSULA SEGUNDA – DAS DEFINIÇÕES

Todas as informações técnicas obtidas através da execução do contrato celebrado entre a Secre­taria de Estado de Fazenda do Distrito Federal e a Contratada serão tidas como confidenciais.

PARÁGRAFO ÚNICO: Serão consideradas confidenciais, para efeito deste Termo, toda e qual­quer informação disponibilizada pela Secretaria de Estado de Fazenda do Distrito Federal que, ainda que não estejam acobertadas pelo sigilo legal.

CLÁUSULA TERCEIRA - DA RESPONSABILIDADE

Os empregados da Contratada se comprometem a manter sigilo, não utilizando tais informações confidenciais em proveito próprio ou alheio. Os empregados que detiverem os dados confiden­ciais incorrem nos mesmos deveres dos servidores públicos conforme estabelece o art. 327 do Código Penal.

PARÁGRAFO PRIMEIRO: A Contratada deverá fornecer Termo de Confidencialidade dos funcionários que prestarão serviço à Secretaria de Estado de Fazenda do Distrito Federal, bem como atualizá-lo em caso de dispensa e nova contratação.

PARÁGRAFO SEGUNDO: A Secretaria de Estado de Fazenda do Distrito Federal poderá exigir Termos de Confidencialidade individuais quando entender necessário.

CLÁUSULA QUARTA – DA GUARDA DAS INFORMAÇÕES

O dever de confidencialidade e sigilo previsto neste termo terá validade durante toda a vigência da execução contratual. A custódia das informações deverá obedecer aos padrões de segurança contratualmente estipulados.

CLÁUSULA QUINTA – DAS OBRIGAÇÕES

A contratada se obriga a:

cumprir as disposições da Política de Segurança da Informação desta instituição;

usar tais informações apenas com o propósito de bem e fiel cumprir o objeto contratado;

manter o sigilo relativo às informações confidenciais e revelá-las apenas aos empregados cadas­trados que tiverem necessidade de ter conhecimento sobre elas;

manter procedimentos administrativos adequados à prevenção de extravio ou perda de quaisquer documentos ou informações confidenciais, devendo comunicar à Contratan­te, imediatamente, a ocorrência de incidentes desta natureza, o que não excluirá sua responsabilidade.

PARÁGRAFO PRIMEIRO: A quebra do dever de sigilo e a violação das obrigações deste Termo sujeitarão o responsável à pena prevista no artigo 325 do Código Penal.

PARÁGRAFO SEGUNDO: Os funcionários da contratada deverão destruir todos e quaisquer documentos por eles produzidos que contenham informações confidenciais quando não mais for necessária a manutenção desses, comprometendo-se a não reter quaisquer reproduções, sob pena de incorrer nas responsabilidades previstas neste instrumento.

CLÁUSULA SEXTA - DAS DISPOSIÇÕES ESPECIAIS

Ao assinar o presente instrumento, a Contratada manifesta sua concordância no seguinte sentido:

todas as condições, termos e obrigações, ora constituídas, serão regidas pelo presente Termo, bem como pela legislação e regulamentação brasileiras pertinentes;

o presente Termo só poderá ser alterado mediante a celebração de novo termo, posterior e aditivo;

as alterações do número, natureza e quantidade das informações confidenciais dispo­nibilizadas pela Contratada não descaracterizarão ou reduzirão o compromisso ou as obrigações pactuadas neste Termo de Confidencialidade, que permanecerá válido e com todos os seus efeitos legais em qualquer das situações tipificadas neste instrumento;

o acréscimo, complementação, substituição ou esclarecimento de qualquer das infor­mações confidenciais conhecidas pelo funcionário, serão incorporadas a este Termo, passando a fazer dele parte integrante, para todos os fins e efeitos, recebendo também a mesma proteção descrita para as informações iniciais disponibilizadas, não sendo necessário, nessas hipóteses, a assinatura ou formalização de Termo de Confiden­cialidade aditivo.

CLÁUSULA SÉTIMA – DA VALIDADE

Este Termo tornar-se-á válido a partir da data de sua efetiva assinatura pelas partes, mantendo-se esse compromisso, inclusive, após o término da contratação.

CLÁUSULA OITAVA – DA RESPONSABILIDADE CIVIL

A não-observância de quaisquer das disposições estabelecidas neste instrumento, sujeitará a Contratada, por ação ou omissão de qualquer de seus agentes, ao pagamento ou recom­posição de todas as perdas e danos comprovados pela Secretaria de Estado de Fazenda do Distrito Federal.

 

 

_______________________

Pela SEF

_______________________

Pela Contratada

TESTEMUNHAS:

Nome: ______________________________

CPF:

Nome: ______________________________

CPF:

 

 

TERMO DE CONFIDENCIALIDADE

 

Eu ______________________________________, portador do RG nº ___________________, OE ________, CPF_________________________, residente e domiciliado em __________ ______________________________________________, cidade de __________________ ________________, UF _______, CEP___________________, declaro conhecer as normas da Política de Segurança da Informação da Secretaria de Estado de Fazenda do Distrito Federal (SEF) e assumo o compromisso de acatar tais dispositivos, com o fim de manter a confidencialidade de toda documentação, informação e dados a que tenho acesso em razão de minha prestação de serviços objeto do Contrato nº___________________, inclusive após seu término. Comprometo-me a guardar sigilo, não divulgar, revelar ou reproduzir, por quaisquer meios, documentações, informações e dados produzidos ou custodiados pela SEF. Estou ciente que o descumprimento deste Termo acarretará responsabilização admi­nistrativa, civil e criminal.

___________________, _____de ___________ de 20_____

_________________________________________________

Assinatura