ATC 9/2017 ATC - ATO DA COMISSÃO DIRETORA
Origem COMDIR - COMISSÃO DIRETORA
Data de Assinatura 13/06/2017
Classificação 1 - ATOS NORMATIVOS


Fonte Data de Publicação Seção Página
Boletim Administrativo do Senado Federal 16/06/2017 2 1
Tipo da Versão Texto da Versão
Original
Aprovad(o)(a) pel(o)(a) ATA 3/2017
Regulamentado por APS 4/2017
Ver também APS 2/2020

ATO DA COMISSÃO DIRETORA Nº 9, de 2017

Institui a Política Corporativa de Segurança da Informação do Senado Federal – PCSI.

A COMISSÃO DIRETORA DO SENADO FEDERAL, no uso de suas competências regimentais e regulamentares,

Considerando que o Senado Federal, no exercício de suas atribuições, recebe, produz, processa, armazena e transmite informações, as quais devem permanecer íntegras, disponíveis, e com o seu grau de sigilo resguardado;

Considerando os Acórdãos TCU nº 1.603/2008, 2.471/2008, 2.308/2010, 1.233/2012, 2.585/2012 e 3.051/2014, todos do Plenário, que recomendam ao Senado Federal ações para o aprimoramento da segurança da informação;

Considerando a aprovação do Projeto Estratégico de Implantação da Política de Segurança no âmbito do Senado Federal, decorrente da revisão do Planejamento Estratégico do Senado Federal em 15 de maio de 2015;

Considerando que a segurança da informação deve ser inerente aos processos de trabalho existentes em todo o âmbito do Senado Federal;

RESOLVE:

Art. 1º Este Ato institui a Política Corporativa de Segurança da Informação do Senado Federal - PCSI, cujo objetivo é estabelecer princípios, diretrizes estratégicas, responsabilidades, competências e subsídios para a implantação do sistema de gestão de segurança da informação, a fim de viabilizar e assegurar a disponibilidade, a integridade, a autenticidade e a confidencialidade das informações recebidas, produzidas, processadas, armazenadas e transmitidas pelo Senado Federal, observada a Lei nº 12.527, de 18 de novembro de 2011.

CAPÍTULO I

DAS DISPOSIÇÕES PRELIMINARES

Art. 2º Para os fins deste Ato, são adotadas as seguintes definições:

I - áreas seguras e instalações físicas críticas: áreas físicas e instalações classificadas como de acesso restrito, em função de ações e processos ali desempenhados, de informações ali armazenadas e da possibilidade de impactos em pessoas ou atividades de negócio;

II - autenticidade: propriedade que assegura que determinada informação seja atribuída a determinado usuário ou processo;

III- classificação da informação: processo que assegura que a informação seja adequadamente rotulada, de forma a indicar as necessidades, as prioridades e os níveis esperados de proteção quanto a seus aspectos de disponibilidade, integridade, confidencialidade e autenticidade;

IV - confidencialidade: propriedade que assegura que a informação seja acessada somente por processos e usuários autorizados;

V- controle: forma de gerenciar o risco, incluindo políticas, procedimentos, diretrizes, práticas ou estruturas organizacionais, que podem ser de natureza legal, administrativa, técnica ou de gestão;

VI - disponibilidade: propriedade que assegura que a informação esteja disponível aos processos e usuários autorizados, sempre que necessário;

VII- gestão da continuidade de negócios: processo abrangente de gestão que identifica ameaças potenciais para uma organização e os possíveis impactos nas operações de negócio, caso estas ameaças se concretizem;

VIII - gestão de riscos de segurança da informação: conjunto de processos que objetiva identificar os riscos que possam comprometer a confidencialidade, a integridade, a disponibilidade ou a autenticidade da informação, priorizando seu tratamento com base em critérios para aceitação de riscos compatíveis com os objetivos institucionais;

IX- incidente de segurança da informação: evento que comprometa ou possa comprometer a segurança da informação ou violação a normas de segurança da informação ou à legislação vigente referente ao assunto, que acarrete efeito negativo ao Senado Federal;

X - informação ostensiva: categoria de informação que não possui sigilo ou restrição, cujo acesso pode ser franqueado a qualquer pessoa;

XI - informação sigilosa: categoria de informação enquadrada em uma das hipóteses de sigilo previstas na Constituição, em leis, no Regimento Interno do Senado Federal, no Regimento Comum do Congresso Nacional ou em outras resoluções, cujo acesso deve ser restrito a pessoas que, por seu cargo ou função, tenham necessidade de tomar conhecimento de seu teor;

XII - integridade: propriedade que assegura que a informação seja alterada somente por processos e usuários autorizados;

XIII- recurso de informação: qualquer meio físico ou tecnológico que viabilize o recebimento, a produção, o processamento, o armazenamento ou a transmissão de informação;

XIV - risco: combinação da probabilidade da ocorrência de um evento e de suas consequências;

XV- segurança da informação: conjunto de ações com a finalidade de proteger a informação contra os vários tipos de ameaças, a fim de garantir a continuidade do negócio e minimizar seus riscos;

XVI- sistema de gestão: conjunto de recursos, estruturas, normas, métodos e ferramentas para instituir, gerenciar e continuamente melhorar as políticas, os procedimentos e os processos de trabalho da organização;

XVII- sistema de gestão da segurança da informação: parte do sistema de gestão, baseada na abordagem de riscos, cuja finalidade é estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação;

XVIII - tratamento da informação: conjunto de ações referentes à produção, recepção, classificação, utilização, acesso, reprodução, transporte, transmissão, distribuição, arquivamento, armazenamento, eliminação, avaliação, destinação ou controle da informação;

XIX - usuários colaboradores: empregados de empresas prestadoras de serviço ao Senado Federal, estagiários do Senado Federal e jovens aprendizes;

XX - usuários externos: pessoas físicas ou jurídicas que tenham acesso, de forma autorizada, aos recursos e instalações do Senado Federal e que não sejam caracterizadas como usuários internos ou usuários colaboradores;

XXI - usuários internos: senadores e servidores efetivos e comissionados.

CAPÍTULO II

DOS PRINCÍPIOS

Art. 3º São princípios da PCSI:

I - transparência das informações recebidas, produzidas, processadas, armazenadas e transmitidas pelo Senado Federal;

II - garantia da disponibilidade, da integridade e da autenticidade das informações recebidas, produzidas, processadas, armazenadas e transmitidas pelo Senado Federal;

III - garantia da confidencialidade das informações recebidas, produzidas, processadas, armazenadas e transmitidas pelo Senado Federal, quando legalmente exigida;

IV - planejamento das ações de segurança da informação por meio de sistema de gestão da segurança da informação que considere processos de trabalho e recursos humanos, materiais e tecnológicos.

CAPÍTULO III

DA ORGANIZAÇÃO DO SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO

Art. 4º O Sistema de Gestão de Segurança da Informação será organizado com a finalidade de estruturar a gestão das ações de segurança da informação e será composto pelos seguintes órgãos:

I - Comitê de Segurança da Informação - CSI;

II - Comitês Temáticos de Segurança da Informação - CTSIs;

III - Núcleo de Segurança da Informação em Tecnologia da Informação - NSITI.

Parágrafo único. As ações desenvolvidas pelo Sistema de que trata o caput deste artigo, que serão coordenadas entre as áreas competentes, considerarão a relação entre custo e benefício e serão realizadas de forma a minimizar os riscos e maximizar os resultados.

Art. 5º O CSI é composto por dois representantes, sendo um titular e um suplente, de cada um dos seguintes órgãos, indicados pelos seus titulares e designados por Portaria da Diretoria-Geral:

I - Diretoria-Geral;

II - Secretaria-Geral da Mesa;

III - Secretaria de Tecnologia da Informação - Prodasen;

IV - Secretaria de Gestão de Informação e Documentação;

V - Secretaria de Polícia.

Art. 6º O NSITI integra a estrutura organizacional da Secretaria de Tecnologia da Informação - Prodasen.

CAPÍTULO IV

DAS DIRETRIZES

Seção I

Da Classificação e Tratamento da Informação

Art. 7º A classificação da informação, disposta em norma específica, é pressuposto para seu correto tratamento e tem por objetivo assegurar nível adequado de proteção em relação a suas propriedades.

Parágrafo único. Os controles físicos, administrativos e tecnológicos necessários para assegurar a disponibilidade, a integridade, a autenticidade e a confidencialidade das informações deverão ser implementados conforme a classificação a elas atribuída.

Art. 8º O acesso de usuários colaboradores e externos a dados, documentos ou instalações que contenham informações sensíveis, sigilosas ou de acesso restrito deve ser precedido de assinatura de termo de confidencialidade.

Seção II

Da Gestão de Riscos de Segurança da Informação

Art. 9º O processo de análise e avaliação de riscos é pressuposto para o estabelecimento de controles adequados ao tratamento dos principais riscos de segurança da informação.

Art. 10. A gestão de riscos de segurança da informação alinha-se com a Política de Gestão de Riscos Organizacionais do Senado Federal, definida no Ato da Comissão Diretora nº 16 de 2013.

Seção III

Da Gestão da Continuidade de Negócios

Art. 11. A gestão da continuidade de negócios tem por objetivo, em relação à segurança da informação, garantir níveis adequados de disponibilidade, integridade, autenticidade e confidencialidade às informações essenciais ao funcionamento dos processos críticos de negócio do Senado Federal.

Seção IV

Do Uso dos Recursos de Informação

Art. 12. Os recursos de informação do Senado Federal devem ser utilizados para os fins institucionais, respeitados a legislação vigente, a PCSI, as normas complementares de segurança da informação, as obrigações contratuais e os direitos autorais.

Seção V

Da Gestão de Incidentes de Segurança da Informação

Art. 13. A gestão de incidentes de segurança da informação deve priorizar a restauração do funcionamento adequado dos recursos de informação do Senado Federal.

Seção VI

Da Gestão de Áreas Seguras e Instalações Físicas Críticas

Art. 14. A gestão de áreas seguras e instalações físicas críticas tem por objetivo, em relação à segurança da informação, prevenir danos e interferências nas instalações do Senado Federal que possam causar perda, roubo ou comprometimento de informações.

CAPÍTULO V

DAS COMPETÊNCIAS E RESPONSABILIDADES

Art. 15. Compete ao CSI:

I - planejar, coordenar, acompanhar, monitorar e avaliar, em conjunto com os setores competentes, a implementação da PCSI e das normas complementares e as ações de segurança da informação;

II- analisar e formular ações de segurança da informação para o Senado Federal, considerando a conformidade com a legislação e as recomendações e boas práticas pertinentes;

III- fomentar a cultura de segurança da informação no Senado Federal;

IV- planejar a capacitação dos usuários em segurança da informação;

V - apresentar propostas de compatibilização das normas do Senado Federal que tenham impacto em segurança da informação com a PCSI;

VI- prestar assessoria em segurança da informação ao Senado Federal;

VII- propor alocação de recursos necessários às ações de segurança da informação;

VIII- apoiar as áreas competentes do Senado Federal na definição de metodologias, processos e tecnologias em segurança da informação, contemplando a classificação da informação, a gestão de riscos em segurança da informação, o uso dos recursos de informação, a gestão da continuidade de negócios e a gestão de incidentes de segurança da informação;

IX - formular, avaliar, monitorar e divulgar indicadores de segurança da informação no âmbito do Senado Federal;

X - instituir CTSI para tratar de assunto específico afeto à segurança da informação, o qual será integrado por servidores indicados pelos titulares das áreas temáticas relacionadas;

XI - revisar a PCSI no máximo a cada três anos;

XII - estabelecer permanente interlocução com outros comitês de segurança da informação criados no âmbito da Administração Pública.

Art. 16. Compete ao NSITI:

I - secretariar o CSI;

II- atuar como gestor de segurança da informação do Senado Federal;

III - receber e encaminhar ao CSI as demandas de ações corporativas de segurança da informação;

IV - oficiar as áreas envolvidas no âmbito dos CTSIs para a indicação de participantes;

V- propor e coordenar, em conjunto com as demais áreas competentes do Senado Federal:

a) a formulação, a avaliação e o monitoramento de indicadores de segurança da informação em tecnologia da informação - TI;

b) ações de segurança da informação em TI;

c) processos de gestão da continuidade de TI;

d) processos de gestão de riscos de segurança da informação em TI;

e) processos de tratamento de incidentes de segurança da informação em TI;

VI- prestar assessoria em segurança da informação em TI às demais áreas do Senado Federal;

VII - prospectar tecnologias aplicáveis à segurança da informação em TI, sem prejuízo da atuação das demais áreas competentes do Senado Federal;

VIII - reportar os incidentes de segurança da informação em TI ao CSI;

IX - apresentar os indicadores de segurança da informação em TI ao CSI.

Art. 17. Compete às unidades administrativas do Senado Federal:

I- indicar representantes para participação nos CTSIs, quando solicitado;

II - reportar as ocorrências de incidentes de segurança da informação de que tenham conhecimento ao NSITI.

Art. 18. Compete aos usuários internos e aos usuários colaboradores do Senado Federal reportar ao NSITI as ocorrências de incidentes de segurança da informação de que tenham conhecimento.

CAPÍTULO VI

DAS NORMAS COMPLEMENTARES

Art. 19. Este Ato é o documento de referência da PCSI no âmbito do Senado Federal e serve de base para quaisquer normas complementares relativas à segurança da informação.

Art. 20. Integram a PCSI todos os atos normativos de segurança da informação do Senado Federal atuais e que vierem a ser editados.

CAPÍTULO VII

DAS DISPOSIÇÕES FINAIS

Art. 21. Os casos não previstos neste Ato serão analisados pelo CSI e apreciados pelo Primeiro-Secretário do Senado Federal.

Art. 22. Este Ato entra em vigor na data de sua publicação.

Sala de Reuniões, em 13 de junho de 2017. Senador Eunício Oliveira - Presidente, Senador João Alberto Souza - 2º Vice-Presidente, Senador José Pimentel - 1º Secretário, Senador Antônio Carlos Valadares - 3º Secretário, Senador Sérgio Petecão - 2º Suplente de Secretário.

Publicado:

- Boletim Administrativo do Senado Federal, nº 6278, seção 2, de 16/06/2017, p. 1.