TRIBUNAL DE CONTAS DO ESTADO DE GOIÁS
RESOLUÇÃO ADMINISTRATIVA Nº 11/2022
|
Processo nº 202200047000030 |
Dispõe sobre as diretrizes e normas gerais para Gestão da Segurança da Informação do Tribunal de Contas do Estado de Goiás. |
O TRIBUNAL DE CONTAS DO ESTADO DE GOIA´S, no uso de suas atribuições constitucionais, legais e regulamentares,
CONSIDERANDO o objetivo estratégico de “Desenvolver capacidade organizacional ampla para trabalhar com recursos tecnológicos”, previsto no Plano Estratégico 2021-2030;
CONSIDERANDO a necessidade de implantação do Sistema de Segurança da Informação e integração ao atual Sistema de Gestão Integrado TCE-GO;
CONSIDERANDO a necessidade de subsidiar o envolvimento de todas as áreas do TCE-GO a ações vinculadas a garantia da segurança da informação;
CONSIDERANDO a norma ABNT NBR ISO/IEC 27001:2013 - Sistema de Gestão de Segurança da Informação, a ISO/IEC 27002:2013 - Código de Prática para controles de segurança da informação, e a Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados - LGPD);
CONSIDERANDO o objetivo de instituir diretrizes, responsabilidades e competências que viabilizem a disponibilidade, integridade, confidencialidade e autenticidade das informações e comunicações de segurança, bem como a conformidade, padronização e normatização das atividades de Gestão de Segurança da Informação no TCE-GO;
RESOLVE:
Art. 1º: Instituir, no âmbito do Tribunal de Contas do Estado de Goiás, as diretrizes e normas de segurança da informação, estabelecidas nesta Resolução.
Parágrafo único. Esta resolução não exclui a observância das disposições constitucionais, legais e regimentais vigentes que tratam da segurança da informação e proteção de dados.
CAPÍTULO I
DAS DISPOSIÇÕES PRELIMINARES
Art. 2º As diretrizes e normas de Segurança da Informação do TCE-GO congregam objetivos, responsabilidades e competências para viabilizar a disponibilidade, integridade, confidencialidade e autenticidade das informações e comunicações, bem como a conformidade, padronização e normatização das atividades de gestão de segurança da informação, visando a` proteção dos ativos de informação e a prevenção de responsabilidade legal para todos os usuários, devendo serem cumpridas e aplicadas em todas as unidades organizacionais que compõem o TCE-GO.
Parágrafo único. Os usuários, colaboradores, jurisdicionados e demais partes interessadas que tenham acesso às informações do TCE-GO sujeitam-se a esta Resolução e são responsáveis por garantir a segurança das informações a que tenham acesso.
CAPÍTULO II
DOS OBJETIVOS
Art. 3º Constituem objetivos desta Resolução:
I - instituir o Sistema de Gestão de Segurança da Informação (SGSI), parte do Sistema de Gestão Integrado (SGI) do TCEGO;
II - instituir diretrizes e normas gerais para o estabelecimento de controles e procedimentos no TCE-GO que assegurem a preservação da informação quanto a sua integridade, confidencialidade, disponibilidade e autenticidade;
III - instituir competências, responsabilidades e obrigações para o adequado manuseio, tratamento, armazenamento, distribuição, uso e descarte da informação, bem como para o controle e proteção contra a indisponibilidade, a falta de integridade e o acesso não autorizado a dados e informações no TCE-GO.
CAPÍTULO III
DA ABRANGÊNCIA
Art. 4º As diretrizes e as normas oriundas desta Resolução aplicam-se aos recursos de Tecnologia da Informação do TCE-GO, ambientes e processos de trabalho, estabelecendo responsabilidades e obrigações a todo e qualquer usuário que tenha acesso às informações ou aos recursos de tecnologia da informação do TCE-GO.
Parágrafo único. As diretrizes e as normas determinadas nesta Resolução para o Sistema de Gestão de Segurança da Informação (SGSI) do TCE-GO abrangem e integram o atual Sistema de Gestão Integrado (SGI).
Art. 5º As diretrizes e as normas abrangem tanto o ambiente informatizado quanto os meios convencionais de processamento, comunicação e armazenamento da informação, seguindo determinações e critérios padronizados em processos de trabalho que compõem do SGI.
CAPÍTULO IV
DO COMPROMISSO COM A PROTEÇÃO DAS INFORMAÇÕES
Art. 6º Esta Resolução confere a declaração formal do TCE-GO acerca de seu compromisso com a proteção das informações de sua propriedade e/ou sob sua guarda, possuindo caráter norteador à implementação de medidas de proteção e segurança que deverão ser aplicadas a toda e qualquer informação, independentemente de onde ela se encontre, com vistas ao resguardo da imagem e dos objetivos institucionais do TCE-GO.
Parágrafo único. As orientações previstas nesta Resolução devem ser lidas, entendidas, seguidas e cumpridas em todos os níveis hierárquicos, para que seu maior patrimônio - a informação, tenha o grau de confidencialidade, integridade, disponibilidade e autenticidade exigidos.
Art. 7º Os critérios para gestão da segurança da informação observam o disposto nesta Resolução, tendo como base os requisitos da NBR ISO/IEC 27001:2013 associado a requisitos legais aplicáveis e subscritos pelo TCE-GO.
CAPÍTULO V
DOS PRINCÍPIOS E DEFINIÇÕES
Art. 8º O TCE-GO adota os seguintes princípios de segurança da informação:
I - autenticidade: garantia de que a informação foi produzida, expedida, modificada ou destruída dentro de preceitos legais e normativos, por pessoa física, ou por sistema, órgão ou entidade vinculada ao TCE-GO;
II - celeridade: as ações de segurança da informação devem oferecer respostas rápidas a incidentes e falhas de segurança, ou qualquer tipo de violação;
III - confidencialidade: garantia de que a informação não esteja disponível ou revelada a` pessoa física, sistema, órgão ou entidade não autorizada pelo TCE-GO;
IV - conhecimento: os usuários devem conhecer e respeitar diretrizes e normas determinadas e demais regulamentações sobre segurança da informação do TCEGO;
V - clareza: as regras de segurança da informação, devem ser precisas, concisas e de fácil entendimento;
VI - disponibilidade: garantia de que a informação esteja acessível e utilizável sob demanda por uma pessoa física ou determinado sistema, órgão ou entidade vinculada ao TCE-GO;
VII - ética: os direitos e interesses legítimos dos usuários devem ser preservados, sem comprometimento da segurança e comunicação da informação;
VIII - integridade: garantia de que a informação não foi modificada ou destruída de maneira não autorizada ou acidental, seja na sua origem, no trânsito e no seu destino;
IX - privacidade: garantia ao direito pessoal e coletivo, a` intimidade e ao sigilo da correspondência e das comunicações individuais;
X - responsabilidade: as responsabilidades pela segurança dos ativos do TCE-GO e pelo cumprimento de processos de segurança devem ser claramente definidas.
Art. 9º Para os fins de uniformidade, considera-se os seguintes conceitos e definições, não substituindo termos e definições especificados na norma ISO/IEC 27000:2018:
I - diretrizes e normas: conjunto de políticas de segurança da informação;
II - dados: são registros documentados;
III - informação: é todo conjunto de dados que tenha sido tratado, agrupado, transformado e/ou consolidado, possuindo valor para o TCE-GO, seu negócio, seus produtos e/ou para seus servidores, colaboradores, parceiros de negócios, fornecedores, jurisdicionados e demais partes interessadas;
IV - ativo: qualquer componente (seja humano, tecnológico, físico etc.) que sustenta um ou mais processos de trabalho do TCE-GO. Os ativos podem ser do tipo de Informação, de Softwares, Físicos, de Serviços, de Pessoas e de Organização;
V - conformidade: cumprimento de requisitos legais e outros subscritos de organização, assim como diretrizes, normas, procedimentos operacionais dentre outros considerados pelo SGI;
VI - grau de confidencialidade do ativo: ato de se atribuir grau de classificação ao ativo, sendo este do tipo: Reservado, Pessoal, Sigiloso ou Público. O grau de classificação está diretamente relacionado a determinações inseridas na Resolução Normativa nº 10/2017, a qual dispõe sobre os critérios para promover a classificação das informações confidenciais produzidas ou custodiadas pelo TCE-GO;
VII - ciclo de vida do ativo: caracterizado pelo ciclo formado desde sua criação ou obtenção, passando por seu uso, manipulação, compartilhamento, armazenamento, transporte e descarte;
VIII - incidente de segurança da informação: qualquer indício de fraude, sabotagem, desvio, falha ou, ainda, evento indesejado ou inesperado que possui uma probabilidade significativa de comprometer as operações de negócios e ameaçar a segurança da informação;
IX - criptografia: conjunto de técnicas pelas quais a informação pode ser transformada da sua forma original para outra ilegível, de forma que possa ser identificada apenas por seu destinatário, detentor da chave secreta de acesso restrito;
X - proprietário: uma pessoa ou organismo que tenha uma responsabilidade autorizada para controlar a produção, o desenvolvimento, a manutenção, o uso e a segurança de ativos;
XI - usuário: qualquer indivíduo como servidor público, colaborador, estagiário, prestador de serviço, jurisdicionado, interessado ou qualquer outro que obtiver autorização do proprietário para acesso aos ativos da instituição;
XII - colaborador: qualquer indivíduo, contratado CLT ou terceirizado prestador de serviço por intermédio de pessoa jurídica ou não, que exerça alguma atividade dentro do TCE-GO;
XIII - gestor de informação: qualquer indivíduo ou grupo de indivíduos designados, que serão responsáveis pela gestão da informação. Esse gestor deve ter postura exemplar em relação a` segurança da informação, servindo como modelo de conduta para os usuários sob a sua gestão. Os gestores das unidades organizacionais do TCE-GO são também gestores das informações que por elas trafegam.
CAPÍTULO VI
DAS DIRETRIZES E NORMAS GERAIS
Art. 10. É de responsabilidade de todos os usuários, em conjunto com a Gerência de TI, que acessam recursos tecnológicos do TCE-GO:
I - Promover a segurança de seu usuário, bem como de seus respectivos dados e credenciais de acesso;
II - Seguir, de forma colaborativa, as orientações fornecidas pelos setores competentes em relação ao uso dos recursos tecnológicos e informacionais do TCE-GO;
III - Utilizar de forma ética, legal e consciente os recursos tecnológicos e informacionais do TCE-GO;
IV - Salvaguardar a integridade e confidencialidade das informações a que tenha acesso em virtude do cargo ou função exercida.
Parágrafo único. O TCE-GO poderá, a qualquer tempo, revogar credenciais de acesso concedidas a usuários em virtude do descumprimento de diretrizes, normas, políticas e demais processos operacionais específicos de segurança e comunicação da informação.
Art. 11. É de responsabilidade de cada usuário (interno e externo) todo prejuízo ou dano que vier a sofrer ou causar ao TCE-GO em decorrência do não cumprimento às diretrizes e normas aqui determinadas e demais processos operacionais vinculados a Segurança da Informação.
Parágrafo único. É proibida a criação, a modificação, a execução ou a retransmissão de quaisquer instruções ou programas de computador com o intuito de obter acesso não autorizado a um recurso, equivalendo, no caso, em tentativa de “quebra” da segurança de sistemas, passível de responsabilização ao usuário infrator (interno e externo).
Art. 12. São responsabilidades dos gestores de informação, inclusive pela disponibilização do acesso às informações sob sua administração, tendo como outras responsabilidades:
I - informar à Gerência de Tecnologia da Informação (Gerência de TI) do TCE-GO das respectivas necessidades de acesso aos recursos pelos servidores/colaboradores ou contratados;
II - promover a classificação dos ativos sob sua responsabilidade, bem como validar, liberar e cancelar o acesso dos servidores aos ativos da sua área/unidade quando necessário;
III - supervisionar adequadamente os ativos sob sua responsabilidade, de forma a preservar sua integridade física e o bom funcionamento;
VI - estabelecer, quando necessário, acordos de confidencialidade e de acesso a dados e informações por parte de terceiros e parceiros.
Art. 13. São responsabilidades da Gerência de TI:
- Quanto a gestão da segurança da informação:
a) zelar pela eficácia dos controles de segurança da informação utilizados informando aos responsáveis diretos, à Diretoria de Governança, Planejamento e Gestão (DiPlan) e demais interessados os riscos residuais considerados significativos ao SGI, os quais integram a política de gestão de riscos;
b) promover a instrução e capacitação acerca de temas vinculados a segurança da informação, destacando informações referentes a violação e respostas a incidentes de segurança;
c) configurar os recursos informacionais e computacionais concedidos aos usuários com todos os controles necessários para cumprir os requisitos de segurança estabelecidos nas diretrizes, normas, procedimentos e demais documentos que compõem o Sistema de Gestão de Segurança da Informação do TCE-GO;
d) garantir segurança especial para sistemas com acesso público, fazendo guarda de evidências que permitam a rastreabilidade para garantia de conformidade;
e) administrar e proteger cópias de segurança de sistemas e dados relacionados aos processos vinculados ao Sistema de Gestão de Segurança da Informação do TCE-GO.
II - A Gerência de TI também se responsabiliza por:
a) remover dos servidores as informações que estejam desatualizadas, que não sejam mais necessárias ao desempenho do trabalho, ou que se refiram a assuntos alheios aos interesses do TCE-GO;
b) atos e acessos realizados com sua identificação no ambiente informatizado;
c) manter o sigilo sobre as informações, conforme classificações dos ativos realizadas.
Art. 14. São responsabilidades de parceiros e terceiros a adoção de padrões elevados de integridade na condução dos seus negócios, cujas atividades por eles realizadas devem possuir zelo quanto às informações pertinentes ao TCE-GO que venham a ter conhecimento, tratando-as com sigilo, confidencialidade e promovendo recursos para proteção aos direitos de propriedade intelectual durante e após o período de vigência do contrato, convênio, ou instrumento congênere.
Parágrafo único. Eventuais acordos de confidencialidades e de acesso a dados e informações devem estar presentes no contrato, convênio ou instrumento congênere, para observância e cumprimento.
CAPÍTULO VII
DAS COMPETÊNCIAS NA GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Art. 15. Compete à Presidência do TCE-GO a aprovação de diretrizes e normas específicas de segurança da informação, de modo a garantir o cumprimento em toda a instituição.
-Vide Portaria nº 954/2023-GPRES, de 1-12-2023, DEC 1-12-2023.
-Vide Portaria nº 614/2022-GPRES, de 4-10-2022, DEC 5-10-2022.
-Vide Portaria nº 530/2022-GPRES, de 25-08-2022, DEC 25-08-2022.
-Vide Portaria nº518/2022-GPRES, de 19-08-2022, DEC 22-08-2022.
Art. 16. Quanto às demais competências:
I - Acerca da segurança das informações no trabalho remoto e no uso de dispositivos móveis, cabe à Secretaria Administrativa, com suporte da Gerência de TI, a propositura de diretrizes e normas, bem como a determinação e implementação de procedimentos para garantir a segurança da informação no desenvolvimento do trabalho remoto e no uso de dispositivos móveis.
II - Acerca da gestão de ativos, cabe à Gerência de TI a propositura de diretrizes e normas, bem como a determinação e implementação de procedimentos para promover a identificação, controle e monitoramento dos ativos do TCE-GO.
III - Acerca da gestão de acesso:
a) Quanto à gestão de acesso físico, compete à Assessoria Militar do TCE-GO a propositura de diretrizes e normas, bem como a determinação e implementação de procedimentos que permitam o estabelecimento de padrões vinculados a segurança física e remota.
b) Quanto à gestão de acesso virtual, compete à Gerência de TI a propositura de diretrizes e normas, bem como a determinação e implementação de procedimentos que padronizem o controle de acesso virtual, considerando todo gerenciamento de acesso às redes e aos serviços de rede do TCE-GO.
IV - Acerca da gestão de Mudanças, compete à DiPlan a propositura de diretrizes e normas, bem como a determinação e implementação de procedimentos que permitam que qualquer mudança no ambiente operacional de segurança da informação seja homologada e testada, gerando documentação e registro.
V - Acerca da gestão de backup, compete à Gerência de TI a propositura de diretrizes e normas, bem como a determinação e implementação de procedimentos que padronizem a gestão operacional vinculada a rotinas de backup, considerando testes e simulados necessários.
VI - Acerca da gestão de mecanismos de comunicação, compete à Diretoria de Comunicação a propositura de diretrizes e normas, bem como a determinação e implementação de procedimentos que garantam a segurança da informação em redes sociais. A normatização interna de uso seguro das redes sociais devera´ estabelecer critérios, limitações e responsabilidades na gestão do uso seguro das redes sociais por usuários que tenham permissão para administrar perfis institucionais ou que possuam credencial de acesso para qualquer rede social a partir da infraestrutura das redes de computadores do TCE-GO.
VII - Acerca da gestão de incidentes de segurança da informação e de continuidade do negócio, cabe à Gerência de TI a propositura de diretrizes e normas, bem como a determinação e implementação de procedimentos que padronizem respostas e tratamentos a incidentes de segurança da informação, visando reduzir a possibilidade de interrupção causada por desastres ou falhas nos recursos de tecnologia da informação que suportam as operações do TCE-GO.
VIII - Acerca do uso de controles criptográficos, cabe à Gerência de TI a propositura de diretrizes e normas, bem como a determinação e implementação de procedimentos para o uso de controles criptográficos para a proteção da informação, considerando o uso, proteção e tempo de vida das chaves criptográficas.
IX - Acerca do conceito de “mesa limpa e tela limpa”, cabe a` Secretaria Administrativa, a propositura de diretrizes e normas, bem como a determinação e implementação de procedimentos a fim de garantir práticas que visem proteger dados e informações, em formato digital ou impresso, do acesso, divulgação ou uso não autorizados, bem como perda, fraude ou outro tipo de dano, por meio do conceito de “mesa limpa e tela limpa”.
CAPÍTULO VIII
DO TRATAMENTO DE DADOS PESSOAIS
-Vide Portaria nº 346/2022-GPRES, de 4-07-2022, DEC 4-07-2022.
Art. 17. No âmbito do TCE-GO, em atendimento ao estabelecido no art. 41, da Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados - LGPD),compete à Presidência definir o Encarregado pelo Tratamento de Dados Pessoais (Data Protection Officer - DPO).
-Vide Portaria nº 1011/2023-GPRES, de 2-01-2024, DEC 2-01-2024.
-Vide Portaria nº 26/2023-GPRES, de 5-1-2023, DEC 9-1-2023.
-Vide Portaria nº 346/2022-GPRES, de 4-07-2022, DEC 4-07-2022.
Parágrafo único. As responsabilidades do DPO devem estar de acordo com as definições da LGPD, em especial, seu art. 41, e consistem em:
I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II - receber comunicações da autoridade nacional e adotar providências;
III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
CAPÍTULO IX
DO COMITÊ DE SEGURANÇA DA INFORMAÇÃO
-Vide Portaria nº 57/2023-GPRES, de 10-01-2023, DEC 12-01-2023.
-Vide Portaria nº 345/2022-GPRES, de 4-07-2022, DEC 4-07-2022.
Art. 18. O Comitê de Segurança da Informação deve ser instituído bienalmente pela Presidência.
-Vide Portaria nº 57/2023-GPRES, de 10-01-2023, DEC 12-01-2023.
-Vide Portaria nº 345/2022-GPRES, de 4-07-2022, DEC 4-07-2022.
§ 1º A coordenação do Comitê de Segurança da Informação ficará a cargo da Gerência de TI.
§ 2º Dada a transversalidade temática, o Comitê de Segurança da Informação deve ser composto, no mínimo, por representantes das seguintes unidades organizacionais: Gerência de Tecnologia da Informação; Secretaria Administrativa; Secretaria de Controle Externo; Secretaria Geral; Diretoria de Governança, Planejamento e Gestão; Diretoria de Comunicação; Escola Superior de Controle Externo Aélson Nascimento; e Assessoria Militar.
§ 3º É de responsabilidade do Comitê de Segurança da Informação:
I - coordenar o SGSI;
II - a análise e o monitoramento de requisitos legais aplicáveis a segurança da informação no âmbito do TCE-GO, de modo a garantir a conformidade legal, em especial no tocante aos requisitos da NBR ISO/IEC 27001:2013 e a Lei Geral de Proteção de Dados - LGPD (Lei nº 13.709, de 14 de agosto de 2018);
III - relatar sobre o desempenho do SGSI à DiPlan, responsável pela coordenação do SGI.
CAPÍTULO X
DAS SANÇÕES
Art. 19. Os usuários (internos e externos) que descumprirem as regras estabelecidas nesta Resolução serão notificados e estarão sujeitos às sanções previstas no regime jurídico dos servidores públicos civis da administração direta, autárquica e fundacional do Estado de Goiás (Lei n.º 20.756, de 28 de janeiro de 2020) e demais legislações vigentes.
Parágrafo único. A não observância ao disposto nas diretrizes e normas gerais para Gestão da Segurança da Informação do TCE-GO, instituídas por esta Resolução, e normativos complementares de segurança da informação pode acarretar, isolada ou cumulativamente, nos termos da legislação aplicável, sanções administrativas, civis e penais, observando-se, para tanto, o devido processo legal, com seus consectários do contraditório e da ampla defesa.
CAPÍTULO XI
DAS DISPOSIÇÕES FINAIS
Art. 20. Esta Resolução entra em vigor na data de sua publicação.
Presentes os Conselheiros:
Edson José Ferrari (Presidente), Helder Valin Barbosa (Relator), Sebastião Joaquim Pereira Neto Tejota, Carla Cintia Santillo, Kennedy de Sousa Trindade, Celmar Rech e Saulo Marques Mesquita.
Representante do Ministério Público de Contas: Carlos Gustavo Silva Rodrigues.
Sessão Plenária Extraordinária Administrativa Nº 11/2022 (Virtual).
Resolução aprovada em: 28/04/2022.