PORTARIA Nº 954/2023 - GPRES
Aprova a Versão 002 do Manual de Segurança da Informação no âmbito dos processos de trabalho do Tribunal de Contas do Estado de Goiás, conforme Resolução Administrativa nº 11/2022. |
O PRESIDENTE DO TRIBUNAL DE CONTAS DO ESTADO DE GOIÁS, no uso de suas atribuições legais, e,
CONSIDERANDO que o caput do art. 15, da Resolução Administrativa nº 11/2022 atribui responsabilidade à Presidência pela aprovação de diretrizes e normas específicas de segurança da informação, de modo a garantir o cumprimento em toda a instituição;
CONSIDERANDO os trabalhos realizados pelo Comitê de Segurança da Informação, designado pela Portaria nº 57/2023-GPRES, ao qual compete assegurar que o Sistema de Gestão da Informação encontra-se em conformidade com os requisitos legais e da NBR ISO/IEC 27001:2013, bem como revisar e aprovar normas e orientações específicas inerentes à segurança da informação no âmbito deste Tribunal de Contas;
RESOLVE:
Art. 1º Fica aprovada, na forma dos Anexos desta Portaria, a Versão 002 do “Manual de Segurança da Informação”.
Art. 2º Fica revogada a Portaria nº 614/2022- GPRES.
Art. 3º Esta Portaria entra em vigor na data de sua publicação.
CUMPRA-SE e PUBLIQUE-SE.
GABINETE DA PRESIDÊNCIA DO TRIBUNAL DE CONTAS DO ESTADO DE GOIÁS, em Goiânia, em 1º de dezembro de 2023.
Conselheiro Saulo Marques Mesquita
Presidente
ANEXO
PORTARIA Nº 954/2023-GPRES
Comitê de Segurança da Informação
MANUAL DE SEGURANÇA DA INFORMAÇÃO
Versão nº: 002
20/11/2023
SUMÁRIO
1. Objetivo. 2
2. Documentos de Referência. 2
3. Definições. 2
4. Diretrizes, responsabilidades e normas específicas de segurança da informação. 2
4.1 Controle de acesso virtual 2
4.1.1 Permissões para acesso a informações em Banco de Dados. 3
4.1.2 Gerenciamento e distribuição de senhas para acesso a dados. 4
4.1.3 Autorização e autenticação de usuários. 4
4.1.4 Acesso e uso de e-mail corporativo. 4
4.1.5 Autenticação em sistemas web. 5
4.2 Segurança física e do ambiente. 5
4.3 Desastres Naturais. 6
4.4 Controles criptográficos. 6
4.5 Mesa limpa e tela limpa. 6
4.6 Uso e controle de mídias removíveis. 7
4.7 Uso de dispositivos móveis. 8
4.8 Transferência das informações. 9
4.9 Comunicação segura. 9
4.10 Proteção contra malware. 9
4.11 Gestão de mudança. 10
4.12 Ataques à sistemas e suas defesas. 11
4.13 Conformidade de requisitos legais e contratuais. 12
4.14 Política de Privacidade. 12
4.15 Backup. 14
5. Anexos. 16
6. Elaboração, Revisão e Aprovação. 16
1.Objetivo
Este manual objetiva instituir diretrizes, responsabilidades e normas específicas de segurança da informação, em consonância com a Resolução Administrativa nº 11/2022, que estabeleceu a Política de Segurança da Informação do TCE-GO. As normas aqui dispostas devem ser observadas e cumpridas por todos os proprietários, gestores e usuários de informações que trafegam na organização, com vistas à garantia da disponibilidade, integridade, confidencialidade e autenticidade dessas informações.
Ainda, em anexo a este Manual, encontra-se a Planilha de Requisitos Legais de Segurança da Informação, a qual identifica os requisitos legais dessa temática aplicáveis ao TCE-GO.
2.Documentos de Referência
NBR ISO 9001:2015 – Sistema de Gestão da Qualidade;
NBR ISO 14001:2015 – Sistema de Gestão Ambiental;
NBR ISO/IEC 27001:2022 – Sistema de Gestão da Segurança da Informação
Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados – LGPD)
Resolução Administrativa n.º 001/2014 – Código de Ética do TCE-GO
Resolução Normativa n.º 010/2017 – Classificação das informações de acordo com grau de confidencialidade
Resolução Administrativa n.º 11/2022 – Política de Segurança da Informação
3.Definições
Para fins de uniformidade de entendimento, neste manual são utilizadas as definições estabelecidas pela NBR ISO/IEC 27001:2022 e pelo art. 9º da Resolução Administrativa n.º 11/2022, assim como diretrizes e informações presentes nos processos operacionais padronizados pelo TCE-GO.
4.Diretrizes, responsabilidades e normas específicas de segurança da informação
4.1Controle de acesso virtual
Os acessos à infraestrutura interna de tecnologia da informação do TCE-GO são permitidos apenas mediante identificação e autenticação de usuários, que terão acesso restrito ao que lhes é autorizado e de acordo com perfis de acesso;
A definição e alteração dos perfis de acesso é de responsabilidade do superior imediato do colaborador/prestador de serviço em conjunto com a Diretoria de TI;
Alterações nos perfis de acesso dos colaboradores e prestadores de serviços são registradas e armazenadas para possíveis consultas e auditorias;
Os perfis de acesso dos usuários serão revisados periodicamente pelos gestores dos colaboradores/prestadores de serviço em conjunto com a Diretoria de TI, além de que a cada biênio é realizada a revisão de acessos e responsabilidades;
Os colaboradores e prestadores de serviço são responsáveis por todas as ações realizadas com sua identificação de acesso à infraestrutura interna, ativos de informações e dispositivos móveis do TCE-GO;
O acesso a infraestrutura interna de TI é pessoal e intransferível;
Os colaboradores e prestadores de serviço possuem acesso às informações e ativos de informações necessários para a realização das suas respectivas atividades, conforme seu perfil de login e acesso;
Os colaboradores e prestadores de serviço devem realizar alteração imediata da senha, caso haja suspeita de um possível vazamento de informação do TCE-GO utilizando-se de sua conta de acesso;
A Diretoria de TI deve ser imediatamente comunicada da falha de segurança com registro formal, para as devidas providências, conforme determinação de PO Incidentes de Segurança da Informação;
A Diretoria de TI deve instituir mecanismos de controle e criptografia nas bases de dados que contenha as informações das identificações e senhas dos colaboradores e prestadores de serviços;
Os acessos à infraestrutura interna de TI do TCE-GO são registrados e sujeitos à rastreabilidade, visando à identificação de acessos que violem as diretrizes e políticas técnicas correlatas;
Login seguro é requerido em todos os sistemas sendo que são consideradas 5 tentativas para acesso à rede (Active Directory) e na última tentativa não aprovada o sistema gera o bloqueio do usuário. Nos acessos ao TCENET/SINI são consideradas 5 tentativas para acesso e na última tentativa não aprovada o sistema gera o bloqueio do usuário;
Os sistemas de informação são analisados criticamente, em intervalos regulares não superiores a 12 meses, para verificar a conformidade com as normas, políticas e diretrizes de segurança da informação determinadas pelo TCE-GO;
Rotineiramente deve-se realizar a avaliação junto a equipe terceirizada com objetivo de controle de limites de acessos e disponibilidade dos mesmos;
Rotina automatizada será executada diariamente para bloqueio dos usuários desligados do TCE-GO.
4.1.1Permissões para acesso a informações em Banco de Dados
Não se deve disponibilizar às aplicações acesso à algum banco de dados utilizando login de usuário;
Não se deve disponibilizar às aplicações acesso à algum banco de dados utilizando login de usuário com permissões para execução de comandos em Data Definition Language (DDL);
Não se deve disponibilizar às aplicações acesso à algum banco de dados utilizando login de usuário com permissões além das estritamente necessárias ao seu funcionamento.
4.1.2 Gerenciamento e distribuição de senhas para acesso a dados
Não é permitido a elaboração de senhas que não sigam os padrões estabelecidos pelo TCE Goiás. As senhas do Active Directory devem possuir no mínimo 8 (oito) a 14 (quatorze) caracteres alfanuméricos, caracterizando a gestão de senha seguras para acesso. As senhas do SINI/TCENET devem possuir no mínimo 8 (oito) a 10(dez) caracteres alfanuméricos, caracterizando a gestão de senha seguras para acesso.
Não se deve utilizar o armazenamento de senhas em código-fonte;
Deve-se armazenar de forma segura os dados de usuários e os sistemas que utilizam cada senha fornecida;
Não se devem utilizar as mesmas senhas para ambientes de desenvolvimento, teste, homologação e produção.
4.1.3Autorização e autenticação de usuários
São utilizados controle de usuário e senha nominais para determinar a identidade do usuário;
São utilizados autenticação via SINI sempre que possível para autenticar usuários internos;
São utilizados grupos de Active Directory (AD) / Sistema de Gerenciamento de Acesso (GPAC) para determinar as políticas de acesso e roles de usuário;
Os usuários administradores da TI (Domain Admin no AD), deverão utilizar contas nomeadas e separadas com privilégios suficientes para executar as tarefas necessárias. Portanto, não devem compartilhar um mesmo usuário administrador;
Redes sociais corporativas são acessadas pela área de comunicação do TCE-GO a qual realiza o gerenciamento de senha por meio de termo de responsabilização e alteração de senhas a cada alteração na equipe ou a cada 6 meses, consideramos ainda o eventual acesso realizado por equipe terceirizada e servidores da área de TI, considerando ações específicas como transmissões de sessões plenárias e acesso ao canal Youtube.
4.1.4Acesso e uso de e-mail corporativo
Toda e qualquer mensagem distribuída pelo e-mail do TCE-GO são de sua propriedade;
Sua caixa de entrada corporativa pode ser monitorada, com devida notificação prévia caso o TCE-GO achar necessário;
Evite abrir mensagens de destinatários suspeitos de modo a evitar que o sistema de e-mails seja infectado por alguma ameaça digital;
É estritamente proibido:
Enviar e-mails contendo comentários ofensivos, racistas, sexistas ou obscenos.
Enviar Spam ou “correntes”;
Falsificar ou tentar forjar mensagens de e-mail, disfarçar ou tentar disfarçar sua identidade ao enviar um e-mail;
Acessar conta de outro servidor;
Senhas devem ser armazenadas conforme as diretrizes de controle de acesso apresentadas neste manual.
4.1.5 Autenticação em sistemas web
Sendo o HTTP um protocolo ¿stateless, que utiliza ¿cookies para manter sessões de usuário, faz-se necessário garantir tanto a segurança da troca de credenciais quanto a segurança das demais páginas acessadas pelos usuários dos sistemas web;
Dessa forma deve-se utilizar HTTPS em todas as telas dos sistemas, visto que o protocolo HTTPS visa contribuir para que essa segurança seja garantida.
4.2 Segurança física e do ambiente
As instalações do TCE-GO são protegidas conforme o valor dos ativos que estão em seu interior, preservando a continuidade e a competitividade.
O acesso físico ao TCE-GO é controlado por meio de um sistema integrado formado por barreiras físicas, documentos que registram os procedimentos internos, sistemas eletrônicos de segurança, pessoal contratado, treinado e equipado para exercer suas funções, assim como apoio da assessoria da polícia militar do estado de Goiás.
Somente o pessoal autorizado e identificado pode permanecer dentro do TCE-GO, podendo assim negar acesso a qualquer um que não queira se submeter ao procedimento de identificação.
No interior da organização é obrigatório a utilização, por todos e em local visível, do crachá de identificação fornecido pela recepção.
O acesso de pessoas ao local está condicionado ao cadastro prévio no sistema eletrônico de controle de acesso.
O acesso de visitantes é devidamente monitorado via sistema interno de câmeras e não é permitida a entrada de ninguém portando armas de fogo (a não ser que seja policial ou outro profissional da área de segurança em efetivo exercício).
A instalação e manutenção de chaves e fechaduras (portões, armários, gavetas, cofres) estão sob controle da área de manutenção predial e paisagismo, assim como a gestão de acessos de cada área que constitui o TCE-GO.
Áreas consideradas críticas e sensíveis possuem acesso por meio de fechadura eletrônica e requerem cadastro especial.
O trânsito de veículos no TCE-GO deve cumprir os limites de velocidades internos assim como a preferência de estacionamento em marcha ré facilitando a segurança no momento da saída.
A organização adota um rígido controle dos materiais e produtos existentes nos depósitos e almoxarifados, os quais são de acesso restrito às pessoas que neles trabalham, sendo estes servidores e equipe terceirizada do TCE-GO.
O acesso aos componentes de infraestrutura das instalações do TCE-GO, como cabine de força, painéis de controle de energia, sistemas de comunicações e reservatórios de água, são controlados via sistema eletrônico e de acesso restrito ao pessoal autorizado.
Os colaboradores deverão responder por todo e qualquer acesso aos ativos do TCE-GO, sob sua responsabilidade, assim como pelos efeitos desses acessos efetivados, através de seu consentimento voluntário ou negligente.
Os prestadores de serviço devem adotar medidas de segurança compatíveis com a Política de Segurança Física do TCE-GO, e estarem aptos à recepção de auditorias ao longo da prestação de serviços, seguindo determinações conforme contrato.
4.3 Desastres Naturais
O TCE-GO adota medidas para contenção e mitigação de desastres naturais conforme determinado no PO – Responder a Situações de Emergência, o qual considera, dentre outros, os seguintes cenários: (i) Em Caso de Incêndio; (ii) Em Caso de Inundação; (iii) Em Caso de Explosão; (iv) Em Caso de Derrame; (v) Fuga de Gases (GPL); (vi) Erosão do Solo; (vii) Eventos individuais; (viii) Riscos com insetos / animais peçonhentos (abelhas, cobras, aranhas...) etc.
Ainda, outras condições de emergência estão associadas ao Manual de Abandono de Área e ao Manual de Práticas Seguras e demais políticas e diretrizes consideradas neste manual.
4.4 Controles criptográficos
O uso de criptografia poderá ser utilizado somente quando aprovado pela DI-TI, ou seja, em casos específicos, devidamente formalizados, e seguindo normas ou procedimentos relativos ao manuseio de informações classificadas e rotuladas;
Os algoritmos e os métodos de criptografia utilizados devem se basear em padrões de mercado e utilizar apenas tecnologias homologadas;
Certificação digital e assinatura digital poderão ser utilizados como forma de garantir a segurança nas comunicações institucionais;
O gerenciamento de chaves utilizadas deve atender aos padrões internos determinados em processo operacional e diretrizes de gestão e operação, assim como devem estar sob o monitoramento e controle da DI-TI.
4.5 Mesa limpa e tela limpa
Os documentos em papéis e mídias eletrônicas não devem permanecer sobre a mesa desnecessariamente, devem ser armazenados em armários ou gavetas, quando não estiverem em uso, especialmente fora do horário do expediente;
Informações sensíveis ou críticas para o negócio da organização devem ser armazenadas em local separado e seguro (um armário ou cofre à prova de fogo);
Anotações, recados e lembretes não devem ser deixados à mostra sobre a mesa ou colados em paredes, divisórias ou monitor do computador;
Não anotar informações sensíveis em locais visíveis;
Não guardar pastas com documentos sensíveis em prateleira de fácil acesso;
Destruir os documentos impressos antes de jogá-los fora. Sempre que possível utilizar máquinas desfragmentadoras;
Não imprimir documentos apenas para lê-los. Leia-os na tela do computador, se possível;
Informações sensíveis ou confidenciais, quando impressas em local coletivo, devem ser retiradas da impressora imediatamente;
A disponibilidade de documentação entre áreas de serviços deve ser protocolada e gerenciada pela área provedora da ação;
Computadores pessoais e terminais de computador e impressoras não devem ser deixados “logados”, caso o usuário responsável não esteja presente;
Nos computadores, deve-se fazer uso de um protetor de tela que solicite uma senha para acesso. A política geral aplicada aos computadores bloqueará a tela e exigirá senha após 20 minutos de inatividade.
Nunca deixar crachá de identificação ou chaves em qualquer lugar; mantenha-os junto a você;
Notificar o pessoal da segurança do TCE-GO imediatamente se suas chaves sumirem;
Não deixe mídias nos drives;
Mesas e móveis deverão ser posicionados de forma que dados sensíveis não sejam visíveis de janelas ou corredores;
Ao final do expediente, ou no caso de ausência prolongada do local de trabalho, limpar a mesa de trabalho, guardar os documentos, trancar as gavetas e armários, e desligar o computador;
Sempre limpar sua área de trabalho antes de ir para casa, garantindo adequada organização dos itens/objetos manipulados.
4.6 Uso e controle de mídias removíveis
É proibida a utilização de mídia removíveis pelos colaboradores do TCE-GO em suas estações de trabalho. Somente em casos extremos, colaboradores previamente autorizados podem utilizar esses dispositivos considerando todo arcabouço de gestão de antivírus instalado, monitorado e controlado pela organização.
É proibido o armazenamento de informações sensíveis em dispositivos de mídia removíveis, caso a ação seja necessária estas devem ser criptografadas de acordo com a política de uso de criptografia vigente e o grau de sigilo exigido para a informação.
Toda e qualquer mídia removível só poderá ser descartada ou doada após a devida sanitização de informações ali contidas, solicitando sempre o apoio da equipe da DI-TI e a área de patrimônio. O processo de sanitização consiste em uma formatação de baixo nível, reescrevendo (bit a bit) todo o espaço de armazenamento de dados no dispositivo algumas vezes. Os dados contidos nos setores apagados são normalmente substituídos por zeros ou valores aleatórios. Desta maneira, garante-se que não sejam recuperados os arquivos de dados da unidade de armazenamento, nem mesmo através de métodos de recuperação de arquivos baseados em software ou hardware.
É vedada toda e qualquer transferência de mídias removíveis, estando o servidor ciente desta regra via termo de responsabilidade para uso dos recursos de tecnologia da informação.
Nota: O propósito dessas normas é minimizar os riscos de exposição e perda de dados sensíveis mantidos pelo TCE-GO e reduzir os riscos de proliferação de malwares nos computadores da organização, assim como o devido controle do uso de mídias removíveis.
Nota: Cabe ressaltar que o TCE-GO não declara como aplicável o uso de mídias removíveis como uma prática pela organização, sendo este ativo considerado como um risco aceitável pela organização, o qual requer controle e monitoramento contínuo a fim de garantir sua adoção sistêmica.
4.7 Uso de dispositivos móveis
Instalar ou remover softwares nos computadores TCE-GO sem a prévia autorização;
Abrir computadores ou outros ativos de informática para qualquer tipo de reparo. Devendo notificar a Diretoria de TI quando qualquer problema for identificado;
Alterar as configurações de rede e da BIOS das máquinas, bem como, efetuar qualquer modificação que possa causar algum problema futuro;
Retirar ou transportar qualquer equipamento do TCE-GO sem autorização prévia do Diretoria de TI e Área de Patrimônio;
Instalar, desinstalar, desabilitar ou alterar qualquer software ou hardware a fim de tornar o mesmo total ou parcialmente inoperante;
Retirar ou desconectar qualquer equipamento da rede sem um motivo aceitável do TCE-GO
Comprometer, por mau uso ou de forma intencional, equipamento pertencente ao TCE-GO;
Autorizar, sem devido conhecimento e liberação da Diretoria de TI, a utilização de equipamentos de informática por pessoas sem vínculo com o TCE-GO;
Utilizar equipamentos e informações para outros fins, que não sejam atividades ligadas ao TCE-GO;
Retirar/danificar licenças/placas identificadoras de patrimônio afixadas nos equipamentos de informática ou travas/lacres de segurança disponível em tais;
Conectar e/ou configurar equipamento à rede, sem a prévia liberação da Diretoria de TI;
Alterar, excluir ou inutilizar informações ou meios de acesso a aplicativos/equipamentos de forma indevida ou sem prévia autorização do TCE-GO;
Apropriar-se de segredos de pesquisa, de informações de outros colaboradores ou pertencentes ao TCE-GO através de qualquer meio, eletrônico ou não, sem prévia autorização do proprietário de tais informações;
Tornar vulnerável a segurança dos ativos de informática portáteis (notebook, data show, pen drive etc.);
Compartilhar arquivos ou diretórios somente através de meios tecnológicos autorizados pela Diretoria de TI. (Ex: vpn, nuvem privada, diretório na rede)
Nota: Os dispositivos móveis possuem identificação própria de inventário em local visível e não removível, a partir do qual será efetuado o controle de entrada e saída ou transferência do respectivo bem patrimonial, controlados conforme descrito em PO - Gerir Patrimônio.
4.8 Transferência das informações
A transferência da informação é o momento mais delicado e de vulnerabilidade. Carece, portanto, de cuidado. Antes de transferir qualquer informação, por e-mail, WhatsApp, telefone, redes sociais ou outro meio de comunicação, verifique se você tem autorização para passá-la, se a pessoa a receber tem condições de recebê-la e qual a consequência de tal transferência, para garantir a segurança desta ação o TCE-GO determina é expressamente proibido:
Transmissão ou posse de informação que contenha materiais obscenos, indecentes, lascivos ou outro material que explícita ou implicitamente se refira à conduta sexual;
Transmissão ou posse de informação que contenha linguagem profana ou constitua apologia ao fanatismo, à prática sexual ou a quaisquer formas de discriminação;
Transmissão ou posse de informação que ameace a integridade física ou que intimide outra pessoa ou organização;
Transmissão de informação que implique violação de quaisquer leis ou constitua incitamento de qualquer crime;
Violação de direitos autorais;
Divulgação de qualquer informação restrita ou confidencial sem a permissão de seu proprietário ou do Gestor do recurso ao qual a informação pertence.
Nota: A gestão de informações segue determinação da Resolução nº. 010/2017, assim como demais requisitos legais envolvidos ao tema.
4.9 Comunicação segura
Deve-se empregar canal de comunicação com controle de duplicação e perda de informações/mensagens. Dessa forma deve-se utilizar HTTPS em todas as telas dos sistemas.
Deve-se empregar canal de comunicação que provenha controle de integridade dos dados transmitidos (¿HTTPS).
Deve-se empregar canal de comunicação com controle de autenticação (HTTPS, certificados digitais gerados por autoridades confiáveis, VPNs).
Deve-se armazenar de maneira segura os dados a serem transmitidos em ambas as extremidades da comunicação.
Deve-se empregar canal de comunicação que provenha confidencialidade dos dados transmitidos (HTTPS e VPNs).
4.10 Proteção contra malware
Objetivando aplicar medidas preventivas de protec¸a~o, detecc¸a~o e correc¸a~o corporativamente, para resguardar o ambiente tecnolo´gico do TCE-GO contra softwares maliciosos (vi´rus, worms, spyware, spam), determina:
O uso de softwares não autorizados por parte da área de tecnologia da informação do TCE-GO é proibido, sendo controlado por meio de firewalls de aplicação, caso o usuário possua dúvidas as mesmas devem ser encaminhadas via Help Desk.
Caso o usuário perceba que no seu equipamento de trabalho os sistemas de proteção, como antivírus e firewall, não estejam instalados ou funcionando adequadamente, este deve entrar em contato via Help Desk para as devidas providências;
São aplicados acessos restritos e são registradas tentativas de acesso a websites maliciosos ou suspeitos, por parte dos usuários.
A intenção de introduzir ou espalhar softwares maliciosos no ambiente tecnológico do TCE-GO poderá acarretar sanções administrativas disciplinares e/ou contratuais aos seus respectivos usuários, sem prejuízo das responsabilizações nas esferas cível e criminal.
São realizadas ações para promover o isolamento, ao máximo possível, de ambientes sigilosos do TCE-GO que possam ser contaminados por malwares para evitar impactos de grande magnitude às atividades do negócio.
São configuradas varreduras automáticas e completas, realizadas regularmente por soluções de antivírus.
Arquivos recebidos por meio de redes, em qualquer mídia de armazenamento, correio eletrônico, arquivos baixados (download) ou em páginas web, devem ser verificados automaticamente quanto à presença de códigos maliciosos, antes de serem utilizados;
4.11 Gestão de mudança
Todas as mudanças em sistemas de TI e também outros processos que possam afetar a segurança da informação são estritamente controlados, tendo o devido controle quanto à confidencialidade, integridade e disponibilidade das informações envolvidas no processo.
Mudanças que tenham ocorrido e que não estejam contempladas no Plano de Continuidade de TI devem gerar atualizações.
Quando novos requisitos forem identificados, os procedimentos relacionados devem ser ajustados de forma apropriada.
Diversas situações podem demandar atualizações no Plano de continuidade de TI, tais como as mudanças:
-no parque ou ambiente computacional (ex.: aquisição de novo equipamento, atualização de sistemas operacionais, migração de sistemas de grande porte para ambiente cliente-servidor);
-administrativas, de pessoas envolvidas e responsabilidades;
-de endereços ou números telefônicos;
-na localização e instalações;
-na legislação;
-em prestadores de serviço e fornecedores;
-de processos (inclusões e exclusões);
-na gestão de riscos;
-na gestão do TCE-GO.
O controle de mudanças deve ser formalizado conforme PO - Gerir Melhoria Contínua, sendo seu registro analisado conforme cada cenário.
Nota: Deve-se ainda considerar que tais mudanças também estão previstas no manual do SGI, nos itens “6.3 Planejamento de Mudanças” e “8.5.6 Controle de Mudanças”.
4.12 Ataques à sistemas e suas defesas
Com objetivo de instituir diretrizes vinculadas à prevenção, detecção e recuperação a ameaças e possíveis ataques contra sistemas e aplicações, garantindo a segurança de redes. O TCE-GO determina:
Deve-se realizar proteção de hardware, impedindo acessos físicos não autorizados à infraestrutura da rede, prevenindo roubo de dados e desligamento de equipamentos.
Instituir a proteção de arquivos e dados por meio de autenticação, controle de acesso e sistema antivírus. Sendo que no processo de autenticação, deve-se verificar a identidade do usuário, o seu controle de acesso (conforme permissões pertinentes a cada usuário) e programas de antivírus que garantam a proteção do sistema contra programas maliciosos.
Deve-se restringir as permissões de acesso ao banco de dados para o usuário da aplicação.
Deve-se prevenir ataques de injeção de SQL ¿(SQL Injection).
¿Não se deve criar SQLs concatenando parâmetros ¿textuais de origem não-segura, como parâmetros preenchidos pelo usuário ou mesmo armazenados no banco de dados.
Deve-se, sempre que possível, passar parâmetros em comandos SQL (DML ou DDL) utilizando ¿prepared statements. Consultas que não podem ser parametrizadas devem receber tratamento especial, como ¿escapes ou codificação em hexadecimal.
Deve-se prevenir ataques de injeção de HTML e Javascript.
Deve-se prevenir ataques do tipo ¿cross-site scripting (XSS).
Deve-se garantir o uso de medidas preventivas a fim de prevenir e sanar vulnerabilidades técnicas rotineiras e não rotineiras.
Deve-se prevenir ataques de quebra de autenticação e gerenciamento de sessão¿Broken Authentication and Session Management.
Aplicar Proteção de Perímetro, por meio de ferramentas firewall e routers, mantendo a rede protegida contra tentativas de intrusão (interna e externa)
Deve-se submeter os sistemas a ferramentas de testes de invasão.
Aplicar ferramentas para detecção de ataques sendo estes alertas e ações de auditoria contínuas nos sistemas e aplicações.
Realizar ações de recuperação, por meio de cópia de sistemas de dados (Backup), aplicativos de backup e backup de hardwares.
Nota: A aplicação de diretrizes e politicas descritas neste manual garantem a configuração e manuseio seguro de dispositivos endpoint utilizados em ações operacionais e sob o controle da organização.
4.13 Conformidade de requisitos legais e contratuais
Objetivando impedir a violação de quaisquer normas legais, regulamentares ou contratuais relacionadas a` segurança da informação, fica determinado:
E´ necessário que a DI-TI e Sec-Admin mantenham atualizadas as planilhas de requisitos legais aplicáveis.
Adquirir apenas softwares de fontes conhecidas e bem reputadas, para garantir que o direito autoral não esteja sendo violado.
Implementar controles que garantam que o número máximo de usuários por licença de software, não esteja sendo excedido.
Os sistemas de informação do TCE-GO devem ser analisados a intervalos regulares, para verificar a conformidade com as normas e políticas de segurança da informação do órgão.
Todas as atividades, sistemas e serviços desenvolvidos e prestados pelo TCE-GO devem estar em consonância com as leis, normas e regulamentações jurídicas municipais, estaduais e federais vigentes.
Nota: O TCE-GO realiza toda a gestão de requisitos legais vinculados à segurança da informação por meio de Planilha de Controle de Requisitos Legais de Segurança da Informação, anexada a este manual, a qual é atualizada rotineiramente e monitorada a cada ciclo de auditoria interna do SGI.
Nota: O TCE Goiás terceiriza atividade de desenvolvimento de softwares, sendo esta ação controlada e monitorada por meio de requisitos contratuais específicos, os quais garantem integridade de ações realizadas e atendimento às politicas e diretrizes de segurança da informação descritas neste manual e demais documentos de apoio.
4.14 Política de Privacidade
O TCE-GO oferece uma ampla variedade de serviços providos por meio da internet, tais como sites e aplicativos. Sendo assim fica determinado:
Quanto ao Sigilo de informações: As informações coletadas pelo TCE-GO seguem as diretrizes dadas pela Lei Geral de Proteção de Dados - LGPD (Lei 13.709/2018), que dispõe sobre o tratamento de dados pessoais, pela Lei Federal nº 12.527/2011, que trata o direito constitucional de acesso às informações públicas e também pela Lei Estadual Nº 18.025/2013, regulamentadas pela Resolução Normativa Nº 004/2012 do TCE-GO e alterada pela Resolução Normativa Nº 003/2015. No tocante a tais informações, observa-se ainda o Regulamento da Ouvidoria do Tribunal de Contas do Estado de Goiás.
Neste sentido, a Lei Estadual Nº 18.025/2013 - em seu Art. 4º, inc. IV - veda o acesso irrestrito às informações relativas a processos de inspeções, auditorias, prestações e tomadas de contas realizadas pelos órgãos de controle interno e externo, assim como às informações referentes a procedimentos de ¿scalização, investigação policial, sindicâncias e processos administrativos disciplinares, enquanto não concluídos.
Em relação às informações pessoais coletadas pelo TCE-GO, o sigilo é garantido por meio da Resolução Normativa nº 10/2017, que dispõe sobre os critérios para promover a classi¿cação das informações con¿denciais produzidas ou custodiadas pelo Tribunal de Contas do Estado de Goiás. Esta regulamentação estipula o prazo de cem anos de restrição para informações classi¿cadas como pessoais, ou seja, que digam respeito a informação referente à intimidade, vida privada, honra e imagem da pessoa, bem como às liberdades e garantias individuais.
Quanto a Possibilidade de Manifestação Anônima: O TCE-GO permite a manifestação anônima, dispensando a coleta de dados pessoais para a maior parte dos serviços oferecidos. Excetuam-se as comunicações de irregularidades ou ilegalidades ocorridas na administração pública estadual, realizadas por meio de denúncia ou representação. Estes institutos encontram-se regulados na Lei Orgânica do TCE-GO (Lei n° 16.168, de 11 de dezembro de 2007, arts. 87 a 90) e no Regimento Interno do TCE-GO (Resolução n° 22/2008, arts. 231 a 235). Mesmo nestes casos, quando houver a opção pelo sigilo dos dados da sua manifestação, os interlocutores e responsáveis pela tramitação se comprometerão a resguardá-los.
Quanto a Gestão da Política de Segurança da Informação: A gestão da privacidade e da proteção de dados pessoais no TCE-GO é acompanhada pela Diretoria de Tecnologia da Informação e Comitê de Segurança da Informação.
Entre outros aspectos é vedado armazenar ou transferir informações de conteúdo ofensivo, ou que incentivem a violência ou a discriminação de raça ou credo, além da utilização desses recursos para ¿ns diversos dos previstos nos regulamentos aplicáveis.
Ao adotarmos as melhores práticas de segurança, garantimos a integridade e a confidencialidade dos dados coletados e fortalecemos os mecanismos de proteção contra: uso indevido, tentativas de acesso não autorizados, fraudes, danos e sabotagens, evitando a ocorrência de incidentes.
Dados Pessoais coletados: O TCE-GO coleta dados para atuar de forma e¿caz e proporcionar as melhores experiências com os serviços. A maior parte destas informações é solicitada de maneira explícita e são diretamente fornecidas através de formulários disponibilizados, como, por exemplo, quando você cria uma conta no Aplicativo ou em algum dos portais do TCE-GO, ou quando entra em contato conosco para fazer algum tipo de manifestação. Outra parte desses dados é obtida ao registrar sua forma de interação com nossos serviços, por exemplo, na utilização de tecnologias como cookies e ao receber relatórios de erros ou dados de uso de software que estejam sendo executados em seu dispositivo. Também podemos obter dados de terceiros.
Os seguintes dados podem ser coletados a partir do preenchimento voluntário de formulários: nome, e-mail, telefone, CPF, RG, data de nascimento, endereço, gênero, escolaridade e ocupação.
Outras informações que podem ser consideradas dados pessoais e também poderão ser tratadas pelo TCE-GO, tais como: informações referentes aos seus dispositivos eletrônicos (telefone celular, computadores, entre outros).
Como utilizamos Dados Pessoais: Devidamente observados os regulamentos citados, o TCE-GO usa as informações coletadas para disponibilizar e aprimorar os serviços oferecidos as partes interessadas, que incluem dados de uso para melhorar os nossos serviços e personalizar as suas experiências. Também podemos usar os dados para nos comunicarmos com você, por exemplo, para informá-lo sobre a sua conta, as atualizações sobre informações solicitadas ou serviços oferecidos.
Compartilhamos dados pessoais com o consentimento do usuário ou conforme necessário para concluir qualquer transação ou fornecer um determinado serviço solicitado ou autorizado. Podemos também compartilhar dados com outros órgãos da Administração Pública quando exigido por lei ou para responder perante um processo jurídico; para proteger vidas; para manter a segurança de nossos serviços e para proteger outros direitos garantidos em Lei.
Como Cuidamos de seus Dados Pessoais: Nós adequamos constantemente nossos processos de tratamento de dados para usar apenas as informações necessárias, de acordo com a finalidade pretendida. Por essa razão, cuidamos para que o acesso aos seus dados seja restrito aos colaboradores e terceiros autorizados que necessitem tratar essas informações.
Em alguns casos, usamos técnicas (anonimização, por exemplo) para que não seja possível que os dados a serem utilizados sejam associados a seus respectivos titulares, diminuindo assim os riscos de uso indevido dos dados pessoais armazenados pelo TCE-GO.
Repudiamos e não autorizamos o tratamento de dados para fins discriminatórios abusivos ou ilícitos.
Disseminamos a cultura de sigilo, privacidade e proteção dos dados por meio de programas de conscientização e capacitação que, inclusive, contemplam ações educativas voltadas para toda equipe que constitui o TCE-GO.
O TCE-GO adota procedimentos para prevenir, detectar e responder a incidentes de segurança que envolvam seus dados pessoais. Além disso, elabora planos para a continuidade de negócios, planos de gestão de crises e relatórios de impacto, mapeia processos relacionados a segurança da informação e adota mecanismos de mitigação de riscos que são atualizados frequentemente.
4.15 Backup
Esta seção regulamenta as normas específicas de backup das informações eletrônicas no âmbito do TCE-GO, com o objetivo de estabelecer diretrizes para o processo de cópia e armazenamento dos dados sob a guarda da Diretoria de Tecnologia da Informação, visando garantir a segurança, integridade e disponibilidade, em conformidade com a Política de Segurança da Informação.
Todo e qualquer ativo que armazene dados e que esteja sob responsabilidade da Diretoria de TI deverá ser considerado para avaliação de inclusão no processo de backup.
O responsável por cada recurso deverá definir quais diretórios e arquivos serão incluídos no backup, tendo como prioridade:
Arquivos de configurações de sistemas operacionais e aplicativos instalados em servidores;
Arquivos de log dos aplicativos, inclusive log da ferramenta de backup e restauração;
Informações e configurações de banco de dados;
Conteúdo de repositórios de dados associados a sistemas
Arquivos institucionais de usuários (documentos e e-mails);
Arquivos de aplicações desenvolvidas pelo TCE-GO ou quaisquer outros não descritos neste, mas que a perda de suas informações gere prejuízo a este Tribunal.
Para os aplicativos e/ou bancos de dados devem ser seguidas as recomendações sugeridas pelo desenvolvedor e/ou fabricante.
A criação e operação dos backups deverão obedecer às orientações determinadas em “PO - Gerir Backup”.
Os procedimentos de backup deverão ser atualizados quando houver:
Novas aplicações desenvolvidas;
Novos locais de armazenamento de dados ou arquivos;
Novas instalações de bancos de dados;
Novos aplicativos instalados;
Outras informações que necessitem de proteção através de backups deverão ser informadas ao Administrador de Backup (equipe terceirizada), pelo Diretor de TI.
O prazo de retenção é definido na ferramenta de backup conforme requisitos disponibilizados pela solução. Expirado o prazo de retenção dos dados armazenados, a mídia poderá ser reutilizada ou destruída, observando sempre seu estado de utilização e número de leitura/gravação. A mídia não deverá ultrapassar 30 anos de armazenamento, devendo, nesse caso, ser copiada para outra mídia, destruída de forma segura e descartada em lugar destinado para tal, obedecendo às leis ambientais.
Sempre que necessário deverá ser realizada a atualização das mídias de backup com a finalidade de preservar o acesso aos dados nelas contidas.
O backup deverá ser programado para execução automática em horários de menor utilização dos sistemas;
O backup deverá ser monitorado pelo Administrador de Backup;
Para todos os backups realizados, deve ser gerado um extrato automatizado pela própria ferramenta de backup. Tal extrato deverá ser enviado por e-mail para o Administrador de Backup;
Para os backups que apresentarem falhas, o Administrador de Backup deverá criar uma entrada registrando em solução específica citando os backups e se houve ação corretiva adotada. Competirá ao Administrador de Backup tratar falhas remanescentes.
Os backups deverão ser realizados preferencialmente como disposto a seguir:
Os backups diários serão executados de segunda à sexta-feira, entre 18h e 6h do dia posterior, em modo incremental;
Os backups semanais serão executados nos finais de semana, iniciando aos sábados, em modo incremental. Não haverá execução de backup semanal quando coincidir com o backup mensal ou anual;
Os backups mensais serão executados no primeiro sábado do mês, em modo incremental. Não haverá execução de backup mensal quando coincidir com o backup anual;
Em caso de falha, após verificação do motivo da falha, se houver janela disponível o backup é executado novamente, em casos que não existe janela disponível aquele backup é ignorado refazendo o processo novamente.
Para todos os testes realizados deverá ser gerado um relatório que ficará sob guarda da Diretoria de TI.
Além dos testes executados automaticamente pela ferramenta de backup, os testes de integridade definidos no “PO - Gerir Backup” serão executados trimestralmente.
5.Anexos
Quadro dos Dispositivos Legais de Segurança da Informação.
6. Elaboração, Revisão e Aprovação
Manual de Segurança da Informação |
||
Diretoria de Governança, Planejamento e Gestão - DIPLAN |
||
Responsável por |
Nome |
Função |
Elaboração |
Leandro dos Santos |
Chefe do Serviço de Infraestrutura e Segurança em TI |
Elaboração/Aprovação |
Membros do Comitê de Segurança da Informação |
Comitê de Segurança da Informação |
Controle de Qualidade |
Fabrício Borges dos Santos |
Chefe do Serviço de Gestão da Melhoria Contínua |
Datas das Versões do Manual |
||
Versão anterior: 001 de 30/09/2022 |
Versão atual: 002 de 20/11/2023 |
Próxima Revisão Programada: 20/11/2025 |