04 (extra) -Ética - prof. anderson

7/31/2019 04 (extra) -tica - Prof. Anderson

1/22

CURSO ON-LINE TICA NA ADMINISTRAO PBLICACURSO REGULAR TEORIA E EXERCCIOS

PROFESSOR: ANDERSON LUIZ

Prof. Anderson Luiz www.pontodosconcursos.com.br 1

AULA EXTRA

POL TI CA DE SEGURANA DA I NFORMAO NO MBI TO DA SRF( PORTA RI A SRF N 4 5 0 , D E 2 8 / 4 / 2 0 0 4 )

1 . I NTRODUO

CURI OSI DADE:

A despeito de no ser servidor da Receita Federal, sinto-me muito

vontade para escrever esta aula. Pois, tenho mais de 5 anos deexperincia na rea de Segurana da Informao.

Por exemplo: nos anos de 2007 e 2008, em Braslia, fui instrutordessa disciplina no Curso de Formao de Oficiais Temporrios daMarinha do Brasil; na CGU, sou Gerente do Projeto deImplementao da Poltica de Segurana Corporativa naCorregedoria-Geral da Unio. Ressalto que a SeguranaCorporativa abrange a Segurana da Informao.

A Portaria SRF n 450, de 28/04/2004, dispe sobre a Pol t ica deSegurana da In fo rmao no mb i to da Sec re ta r ia da Rece i taFedera l. Esse ato normativo no fez parte do programa dos concursosde AFRF/2005 e TRF/2006. Por isso no h questes anteriores paraorientar nosso estudo.

Todavia, de 2001 a 2003, constou dos programas de tica naAdministrao Pblica o assunto Acesso aos Sistem as I n fo r m a t i zadosda SRF, tratado nos arts. 23 a 30 da Portaria SRF n 782, de20/06/1997. Transcrevo, abaixo, os dispositivos citados, os quais n oprec isam se r m emor i zados.

PORTARI A SRF N 782 , DE 20 / 06 / 1997 :

DO CONTROLE DE ACESSO LGI CO AOS SI STEMA SI NFORMATI ZADOS

(...)

A r t . 2 3 . O cadastramento inicial e a atualizao de cadastradorese usurios dos sistemas informatizados da SRF sero efetuados

mediante a utilizao dos formulrios do Anexo V e segundo asrotinas constantes dos Anexos II a IV.

1 O cadastramento inicial vincular o CPF do usurio a uma


2/22




senha secreta, pessoal e intransfervel e se consubstanciar coma assinatura do Termo de Responsabilidade.

2 Nas operaes de cadastramento inicial e atualizaes de

usurios e cadastradores o nmero de inscrio no CPF e orespectivo nome do servidor devero ser validados em relao aoCadastro de Pessoas Fsicas da SRF.

3 As habilitaes de acesso de usurios e cadastradoresobedecero os critrios definidos pelo gestor de cada sistema.

4 O chefe imediato do servidor o responsvel pelocadastramento inicial e atualizaes de acesso aos sistemas,devendo solicitar ao cadastrador competente a desabilitao dossistemas aos quais o servidor tiver acesso quando do

desligamento do setor, afastamento temporrio e outrasocorrncias que alterem a natureza das atividades doscadastradores e usurios sob sua superviso.

5 O chefe imediato de usurios e cadastradores deve revalidar,de forma on-line, as suas habilitaes de acesso lgico, de acordocom os critrios definidos pela COTEC em ato prprio.

DAS RESPONSABI LI DADES I NSTI TUCI ONAI S EFUNCIONAIS

A r t . 2 4 . responsabilidade de todos os servidores cuidar da

integridade, confidencialidade e disponibilidade dos dados,informaes e sistemas da SRF, devendo comunicar por escrito chefia imediata quaisquer irregularidades, desvios ou falhasidentificadas.

1 proibida a explorao de falhas ou vulnerabilidadesporventura existentes nos sistemas.

2 O acesso informao no garante direito sobre a mesmanem confere autoridade para liberar acesso a outras pessoas.

3 Os usurios e os cadastradores devem manter suas senhas

de acesso secretas, no podendo deixar qualquer sistema emcondies de ser acessado por terceiros.

A r t . 2 5 . responsabilidade da chefia imediata iniciar aocorretiva apropriada para corrigir os desvios com relao snormas desta Portaria ou procedimentos de segurana dentro desua rea de atuao, comunicando o fato ao Gestor de Seguranade sua respectiva Regio Fiscal.

A r t . 2 6 . O descumprimento das disposies desta Portariacaracterizaro infrao funcional, a ser apurada em processoadministrativo disciplinar, sem prejuzo da responsabilidade penale civil.

A r t . 2 7 . O acesso imotivado do servidor aos sistemas


3/22




informatizados da SRF constitui, sem prejuzo da responsabilidadecivil e penal, infrao funcional de falta de zelo e dedicao satribuies do cargo e descumprimento de normas legais ou

regulamentares tipificadas na Lei n 8.112, de 11 de dezembrode 1990, art. 116, incisos I e III.

A r t . 2 8 . Constitui descumprimento de normas legais eregulamentares e quebra de sigilo funcional de que tratam osincisos III e VIII, do art. 116, da Lei n 8.112, de 1990, adivulgao de dados obtidos dos sistemas informatizados paraservidores da SRF que no estejam envolvidos nos trabalhosobjeto das consultas.

A r t . 2 9 . Ressalvadas as hipteses de requisies legalmenteautorizadas, constitui infrao funcional de revelao de segredo

do qual se apropriou em razo do cargo, tipificada no inciso IX doart. 132 da Lei n 8.112, de 1990, e crime contra a administraopblica, tipificado no art. 325, do Decreto-Lei n 2.848, de 7 dedezembro de 1940 (Cdigo Penal) a divulgao, a quem no sejaservidor da SRF, de informaes dos sistemas informatizadosprotegidas pelo sigilo fiscal, sujeitando o infrator penalidade dedemisso.

A r t . 3 0 . Sem prejuzo da responsabilidade penal e civil, na formados arts. 121 a 125, da Lei n 8.112, de 1990, e de outrasinfraes disciplinares, constitui falta de zelo e dedicao satribuies do cargo e descumprimento de normas legais eregulamentares, na forma dos incisos I e III, do art. 116, da Lein 8.112, de 1990, no proceder o servidor com o devido cuidadona guarda e utilizao da senha ou emprest-la a outro servidor,ainda que habilitado.

Vejam como o assunto Acesso aos S is temas In fo rma t i zadosda SRF ( Po r t a r ia SRF n 782 / 97 ) foi cobrado:

( A FRF/ 2 0 0 3 ) Um servidor da Secretaria da Receita Federal, porcuriosidade, utilizou sua senha de acesso aos sistemasinformatizados para conhecer a situao fiscal de determinadasautoridades pblicas. Manteve segredo sobre as informaesobtidas, mas, como o acesso ficou registrado, o fato chegou aoconhecimento de seus superiores. Nesta hiptese, esse servidor:

a) cometeu crime contra a administrao pblica.b)cometeu crime de violao de sigilo funcional.c) cometeu infrao funcional de falta de zelo, dedicao s

atribuies do cargo e descumprimento de normas legais.


4/22




d)no cometeu qualquer irregularidade.e) deve receber uma meno de elogio se tiver descoberto

alguma irregularidade nos dados consultados.

Respost a: C

Ver art. 30 da Portaria SRF n 782/97.

( TRF/ 2 0 0 3 ) Nos termos da Portaria SRF n 782, de 20 de junhode 1997, constitui infrao funcional de revelao de segredo doqual se apropriou em razo do cargo, a divulgao, ressalvadasas requisies legalmente autorizadas, a quem no seja servidorda SRF, de informaes dos sistemas informatizados protegidaspelo sigilo fiscal. Nesta hiptese, a previso a aplicao da

seguinte penalidade:a) demissob)suspensoc) advertnciad)multae) exonerao

Respost a: A


( A FRF/ 2 0 0 2 ) Nos termos da Portaria SRF n 782, de 20 dejunho de 1997, o servidor que no proceder com o devidocuidado na guarda ou utilizao de sua senha responder:

a) penalmente.b)civil, penal e administrativamente.c) penal e administrativamente.d)civil e administrativamente.e) administrativamente.

Respost a: B


( TRF/ 2 0 0 2 ) Nos termos da Portaria SRF n 782, de 20 de junhode 1997, a revelao de segredo do qual se apropriou em razodo cargo, constitui infrao funcional punvel com a penalidadede:

a) multa


5/22




b)demissoc) advertnciad)suspensoe) remoo

Respost a: B


( A FRF/ 2 0 0 2 ) Nos termos da Portaria SRF n 782, de 20 dejunho de 1997, o acesso imotivado do servidor aos sistemasinformatizados da SRF constitui violao do seguinte deverfuncional:

a) exercer com zelo e dedicao as atribuies do cargo.b)guardar sigilo sobre assunto da repartio.c) manter conduta compatvel com a moralidade

administrativa.

d)ser leal s instituies a que servir.e) zelar pela economia do material e a conservao do

patrimnio pblico.

Respost a: A

Ver art. 27 da Portaria SRF n 782, de 20/06/1997.

( A FRF/ 2 0 0 1 ) Em relao segurana e o controle de acessolgico aos sistemas informatizados da Secretaria da ReceitaFederal, assinale a opo fa lsa.

a) responsabilidade da chefia imediata iniciar ao corretivaapropriada para corrigir os desvios com relao s normasda Portaria SRF n 782 de 20.06.97.

b)O acesso informao no garante direito sobre a mesma.

c) Os usurios dos sistemas devem manter suas senhas deacesso secretas.

d)O descumprimento das normas de segurana, objeto daPortaria SRF n 782, de 20.06.97, caracteriza,exclusivamente, infrao funcional.

e) proibida a explorao de vulnerabilidades porventuraexistentes nos sistemas.

Respost a: D

A l e t ra a est ce r ta . Ver art. 24 da Portaria SRF n 782/97.

A l e t ra b est ce r ta . Ver art. 24, 2 da Portaria SRF n 782/97.


6/22


7/22




Como disse na aula demonstrativa, nosso estudo ser focadonaquilo que realmente importante, naquilo que verdadeiramente

exigido pelas bancas exam inadoras.

Dito isto, vamos em frente!

2 . DI SPOSI TI VOS RELEVATES

A Poltica de Segurana da Informao, no mbito da Secretaria daReceita Federal (SRF), tem como pressuposto a g a ra n t i a daDispon ib i l idade , I n t e g r i d a d e e Conf idenc ia l idade dos At i vos de

in fo rmao (art. 1).

PRESSUPOSTO DA POL TI CA D E SEGURAN A D AI NFORMAO( D I C A ) :

Garant ia da

Dispon ib i l idade

(sempre que necessrio as pessoasautorizadas tero acesso informao)

dos At i vos dei n fo rm a o.

(dados +informaes +

infra-estrutura +tecnologia +hardware +software)

I n t e g r i d a d e(salvaguarda da exatido e

confiabilidade)

Conf idenc ia l idade

(somente pessoas autorizadas tmacesso informao)

responsab i l idade de todos os serv idores cuidar da

disponibilidade, integridade e confidencialidade dos ativos de informaoda SRF (art. 20).

I MPORTANTE:

responsab i l idade de tod os os serv idor es cuidar da D I C A .

Quaisquer i r regu la r idades, fa lhas ou desv ios identificados pelo

servidor devem ser comunicados por esc r i to che f ia imed ia ta e rea responsve l pe la segurana da in fo rmao da sua un idadeda SRF (art. 20, pargrafo nico).


8/22




I MPORTANTE:

O servidor deve comun ica r po r esc r i to quaisqueri r regu la r idades , fa lhas ou desv ios identificados chef iai m e d i a ta E rea responsve l pe la segurana dain f o rm ao da sua un idade da SRF.

Ademais, pro ib ida a exp lo rao de fa lhas ouvu lne rab i l i dades porventura existentes nos ativos de informao daSRF (art. 21). A fim de i den t i f i c - las, a Coordenao-Geral deTecnologia e Segurana da Informao (COTEC) poder au to r i za r

tes tes con t ro lados (art. 21, pargrafo nico).

I MPORTANTE:

p ro i b i d a a exp lo r ao de fa lhas ou vu lner ab i l idades .

Os a t i vos de in fo rmao e o a m b i e n te i n f o rm a t i za d o da SRFdevem estar em c o n fo rm i d a d e com as normas de segurana institudas

pela Portaria SRF n 450 e demais normas relativas segurana dainformao.

Os ativos de informao da SRF devem ser pro teg idos con t raaes in tenc iona is ou ac iden ta is que impliquem perda , des t ru io ,insero , cp ia , ex t rao , a l te rao, uso e expos io indev idos,em conformidade com os princpios da conf idenc ia l idade, in tegr idadee d ispon ib i l id ade .

No ambiente informatizado da SRF, devem ser utilizados einstalados somente so f twares homologados pe la COTEC (art. 12).Ademais, a fim de garantir a DICA , vedada a a l te rao dosmecan ismos e con f iguraes de f in idos pe la COTEC, incluindo (art.18):

Infra-estrutura eltrica; Infra-estrutura lgica; Equipamentos de rede e de conectividade; Equipamentos servidores; Estaes de trabalho fixas; Estaes de trabalho mveis; Sistemas operacionais;

Softwares em geral; e Dispositivos de comunicao sem fio.


9/22




I MPORTANTE:

No ambiente informatizado da SRF, devem ser utilizados einstalados somen te so f twa res homo logados pe laCOTEC.

vedada a a l te rao dos m ecan ism os e con f igu r aesdefinidos pela COTEC.

A Portaria n 450/04 deixa claro que as informaes da SRF devemser classificadas em funo de sua impo r tnc ia e con f idenc ia l i dade( a r t . 5 ) .

CURI OSI DADE:

Essa regra decorre do Decreto n 4.553/02, que dispe sobre asalvaguarda de dados, informaes, documentos e materiaissigilosos de interesse da segurana da sociedade e do Estado, nombito da Administrao Pblica Federal.

Segundo o art. 5 do referido Decreto, os dados ou informaessigilosos sero classificados em ultra-secretos, secretos,confidenciais e reservados, em razo do seu teor ou dos seus

elementos intrnsecos.Por exemplo, so passveis de classificao como reservadosdados ou informaes cuja revelao no-autorizada possacomprometer planos, operaes ou objetivos neles previstos oureferidos (Decreto n 4.553/02, art. 5, 4).

Nesse contexto, as medidas de segurana devem ser adotadasde forma propo rc iona l aos r i scos existentes e m a g n i t u d e d o sdanos po tenc ia is, considerados o ambiente, o valor e a criticidade dainformao (art. 6).

Saibam que os dados e informaes devem ser mantidos com omesmo n ve l de p ro teo , independente do meio no qual estejamarmazenados, em que trafeguem ou do ambiente em que estejam sendoprocessados (art. 6, 1).

Ainda nesse sentido, a Portaria SRF n 450 exige a adoo dem edidas ad ic iona is de p r o t eo , a fim de garantir o m esm o n vel desegurana das in s ta laes in te r nas da SRF, no caso de:

Computao mvel; Acesso remoto ao ambiente informatizado da SRF;


10/22




Operao de redes instaladas em recintos diferentes das unidadesda SRF;

Equipamentos destinados ao acesso pblico; e Comunicao sem fio.

importante destacar que o acesso aos ativos de informao e aoambiente informatizado da SRF deve ser s e m p re m o t i v a d o p o rnecess idade de serv io , devendo ser con t ro lado e res t r i t o spessoas au to r izadas (art. 7).

Alm disso, as permisses de acesso so de uso exc lus ivo ein t rans fe r ve l. Logo, a pessoa autorizada no pode deixar qualquerativo de informao em condies de ser utilizado com suas permissesde acesso por t e rce i ros (art. 7, 1). Por exemplo: Um AFRFB nopode emprestar suas senhas para outro.

Saibam que a permisso de acesso de um Superintendente sermais ampla do que a de um Delegado. Pois, as permisses de acesso devem ser graduadas de aco rdo com as a t r i bu ies dos servidores(art. 7, 2). Alm disso, o acesso ao ativo de informao no ge rad i re i to rea l sobre o mesmo e nem sobre os frutos de sua utilizao (art.7, 3).

I MPORTANTE:

O acesso aos ativos de informao e ao ambienteinformatizado da SRF deve ser s e m p re m o t i v a d o p o rnecess idade de serv io , devendo ser con t ro lado eres t r i to s pessoas au t o r izadas .

As permisses de acesso so de uso exc lus ivo ein t rans fe r ve l.

As permisses de acesso devem ser graduadas deaco rdo com as at r i bu ies dos servidores.

O acesso ao ativo de informao no ge ra d i re i to rea l sobre o mesmo e nem sobre os frutos de sua utilizao.


11/22




3 . RESUMO

1) O d e s c u m p r i m e n to das disposies constantes na Portaria SRF n450/2004 e demais normas sobre segurana da informao caracterizai n f rao fun c iona l .

2) O d e s c u m p r i m e n to das disposies constantes na Portaria SRF n450/2004 e demais normas sobre segurana da informao ser apuradaem p rocesso admin is t ra t i vo d i sc ip l i na r , sem p re ju zo dasresponsab i l idades pena l e c iv i l .

3) O servidor que descumpr i r as disposies constantes na Portaria SRFn 450/2004 e demais normas sobre segurana da informaoresponder c iv i l, pena l e adm in is t ra t i vam en te .

4)

PRESSUPOSTO DA POL TI CA D E SEGURAN A D AI NFORMAO( D I C A ) :

Garant ia da

Dispon ib i l idade

(sempre que necessrio as pessoasautorizadas tero acesso informao)

dos At i vos dei n fo rm a o.

(dados +informaes +

infra-estrutura +tecnologia +hardware +software)

I n t e g r i d a d e

(salvaguarda da exatido econfiabilidade)

Conf idenc ia l idade

(somente pessoas autorizadas tmacesso informao)

5) responsab i l idade de todos os se rv ido res cuidar da D I C A .

6) O servidor deve com un ica r po r escr i t o quaisquer i r regu la r idades ,fa lhas ou desv ios identificados che f ia imed ia ta E rearesponsve l pe la segurana da in fo rmao da sua un idade daSRF.

7) pro ib ida a exp lo r ao de fa lhas ou vu lner ab i l idades .


12/22




8) No ambiente informatizado da SRF, devem ser utilizados e instaladossom ent e so f tw ares hom ologados pe la COTEC.

9) vedada a a l te rao dos m ecan ism os e con f igu r aes definidospela COTEC.

10) O acesso aos ativos de informao e ao ambiente informatizado daSRF deve ser sempre mo t i vado po r necess idade de se rv i o ,devendo ser cont r o lado e res t r i t o s pessoas au t o r izadas .

11) As per m isses de acesso so de uso exc lus ivo e in t rans fe r ve l.

12) As perm isses de acesso devem ser graduadas de acordo comas a t r ibu ies dos servidores.

13) O acesso ao ativo de informao no ge ra d i re i to rea l sobre omesmo e nem sobre os frutos de sua utilizao.


13/22




4 . EXERC CI OS

1 . O servidor que descumprir as disposies constantes na Portaria SRFn 450, de 28 de abril de 2004, e demais normas sobre segurana dainformao responder:

a) penalmente.b)civil, penal e administrativamente.c) penal e administrativamente.d)civil e administrativamente.e) administrativamente.

2 . luz da Portaria SRF n 450, de 28 de abril de 2004, julgue os itens aseguir e assinale a opo correspondente:

I- O descumprimento das disposies constantes na referida Portaria edemais normas sobre segurana da informao no caracteriza infraofuncional.

II- responsabilidade da chefia imediata do servidor cuidar dadisponibilidade, integridade e confidencialidade dos ativos de informaoda SRF.

III- Quaisquer irregularidades, falhas ou desvios identificados peloservidor devem ser comunicados por escrito chefia imediata ou rearesponsvel pela segurana da informao da sua unidade da SRF.

a) VVFb)VFVc) VVFd)FFVe) FFF


I- permitida a explorao de falhas ou vulnerabilidades porventuraexistentes nos ativos de informao da SRF, enquanto no identificadaspela COTEC.

II- O acesso aos ativos de informao e ao ambiente informatizado daSRF deve ser sempre motivado por necessidade de servio, devendo sercontrolado e restrito s pessoas autorizadas.

III- As permisses de acesso so de uso exclusivo e intransfervel.

a) FVF


14/22




b)VFVc) FVVd)FFVe) VFF


I- O acesso ao ativo de informao no gera direito real sobre o mesmoe nem sobre os frutos de sua utilizao.

II- As permisses de acesso devem ser graduadas de acordo com asatribuies dos servidores.

III- No ambiente informatizado da SRF, somente softwares homologadospela COTEC devem ser utilizados e instalados. Todavia, a fim deaumentar a produtividade e com fundamento no princpio da eficincia, permitida a alterao dos mecanismos e configuraes definidos pelaCOTEC.

a) VVVb)VVFc) FVFd)VFVe) FFF

5 . GABARI TO COMENTADO

1. Respost a: B

O d e s c u m p r i m e n to das disposies constantes na Portaria SRF n450/04, e demais normas sobre segurana da informao caracterizai n f rao func iona l , a ser apurada em p rocesso admin is t ra t i vod isc ip l inar , sem pre ju zo das responsab i l idades pena l e c iv i l(Portaria n 450/04, art. 23).

2 . Respost a: E

O i t e m I fa lso. O d e s c u m p r i m e n to das disposies constantes naPortaria SRF n 450/04, e demais normas sobre segurana dainformao caracteriza i n f r ao fun c iona l , a ser apurada em p rocessoadmin is t ra t i vo d i sc ip l i na r , sem pre ju zo das responsab i l idadespena l e c iv i l (Portaria n 450/04, art. 23).


15/22




O i t em I I fa lso. responsab i l idade de todos os serv id ores cuidarda D IC A (Portaria n 450/04, art. 20).

O i t em I I I fa lso. O servidor deve com un ica r po r escr i t o quaisqueri r regu la r idades , fa lhas ou desv ios identificados che f ia im ed ia ta E rea responsve l pe la segurana da in fo rmao da sua un idadeda SRF (Portaria n 450/04, art. 20, pargrafo nico).

3 . Respost a: C

O i t e m I fa lso . pro ib ida a exp lo rao de fa lhas ouvu lne rab i l i dades porventura existentes nos ativos de informao daSRF (Portaria n 450/04, art. 21).

A fim de i den t i f i c - las, a Coordenao-Geral de Tecnologia e Seguranada Informao (COTEC) poder au to r i za r tes tes con t ro lados (Portaria n 450/04, art. 21, pargrafo nico).

O i t e m I I ve rdade i ro . O acesso aos ativos de informao e aoambiente informatizado da SRF deve ser s e m p re m o t i v a d o p o rnecess idade de serv io , devendo ser con t ro lado e res t r i t o spessoas au to r izadas (art. 7).

O i t e m I I I ve rdade i ro . As permisses de acesso so de u soexc lus ivo e in t rans fe r ve l . Logo, a pessoa autorizada no pode deixarqualquer ativo de informao em condies de ser utilizado com suaspermisses de acesso por t e rce i ros (art. 7, 1).

4 . Respost a: B

O i t e m I ve rdade i ro . O acesso ao ativo de informao no ge rad i re i to rea l sobre o mesmo e nem sobre os frutos de sua utilizao (art.7, 3).

O i t e m I I ve rdade i ro . As permisses de acesso devem sergraduadas de aco rdo com as a t r i bu ies dos servidores (art. 7,2).

O i t e m I I I fa lso. No ambiente informatizado da SRF, devem serutilizados e instalados somente so f twares homologados pe la COTEC

(art. 12). Ademais, a fim de garantir aDI CA , vedada a a l te raodos mecan ismos e con f iguraes de f in idos pe la COTEC, incluindo(art. 18):


16/22




Infra-estrutura eltrica; Infra-estrutura lgica; Equipamentos de rede e de conectividade;

Equipamentos servidores; Estaes de trabalho fixas; Estaes de trabalho mveis; Sistemas operacionais; Softwares em geral; e Dispositivos de comunicao sem fio.

A m i g o (a s ) ,

Chegam os ao f ina l de n osso cur so !

Espero , com s incer idade, que essas au las tenham s idoesc larecedoras.

Descu lpem-me pe las eventua is fa lhas ! Se as comet i , fo i com ain teno de a jud - los ( as) .

Con t inuo d i spos io de todos (as ) no f rum e no e -ma i landerson@pontodosconcursos .com.br .

Toro por vocs!

Boa sor t e !

At b reve !

Bons est udos ,

Anderson Lu iz


17/22




PORTA RI A N 4 5 0 DE 2 8 / 0 4 / 2 0 0 4SECRETARI A DA RECEI TA FEDERAL - SRF

PUBL I CADO NO DOU NA PAG. 00012 EM 02 / 06 / 2004

Dispe sobre a Po l t i ca de Seguran a da I n fo r m ao nom bi t o da Secre t a r ia da Rece i ta Federa l .

O SECRETRI O DA RECEI TA FEDERAL, no u so da at r ibu io q ue l hecon fe re o i nci so I I I do a r t . 209 do Reg imen t o I n t e rno da Secre ta r i a daRece i ta Federa l , ap rovado pe la Por ta r ia MF n 259 , de 24 de agos t o de2001 , e tendo em v i sta o d i sposto no Dec re to n 3 .505 , de 13 de j unhode 2000 , reso lve :

DAS DI SPOSI ES PRELI MI NARES

Art. 1 A Poltica de Segurana da Informao, no mbito da Secretaria daReceita Federal (SRF), tem como pressuposto a garantia da confidencialidade,integridade e disponibilidade dos ativos de informao.

Art. 2 Para efeito desta Portaria, entende-se por:

I - ativos de informao, o patrimnio composto por todos os dados einformaes gerados e manipulados nos processos da SRF, bem assim todos oselementos de infra-estrutura, tecnologia, hardware e software necessrios execuo dos processos da organizao;

II - ambiente informatizado, o conjunto de recursos que utiliza ou disponibilizaservios de processamento de dados e sistemas de informao de uso na SRF;

III - confidencialidade, o princpio de segurana que trata da garantia de que oacesso informao seja obtido somente por pessoas autorizadas;

IV - integridade, o princpio de segurana que trata da salvaguarda da exatidoe confiabilidade da informao e dos mtodos de processamento;

V - disponibilidade, o princpio de segurana que trata da garantia de que

pessoas autorizadas obtenham acesso informao e aos recursoscorrespondentes, sempre que necessrio;

VI - anlise de risco e vulnerabilidades, a avaliao das ameaas, impactos evulnerabilidades dos ativos de informao e da probabilidade de sua ocorrncia;

VII - controle de acesso, o conjunto de recursos que efetivam as autorizaes eas restries de acesso aos ativos de informao; e

VIII - software homologado, o software desenvolvido, adquirido ou alteradopela SRF, ou a pedido desta, e submetido a procedimentos de verificao

quanto aderncia s especificaes e s normas vigentes na SRF.


18/22




Art. 3 Os ativos de informao e o ambiente informatizado da SRF devemestar em conformidade com as normas de segurana institudas por estaPortaria e demais normas relativas segurana da informao.

Art. 4 Os ativos de informao da SRF devem ser protegidos contra aesintencionais ou acidentais que impliquem perda, destruio, insero, cpia,extrao, alterao, uso e exposio indevidos, em conformidade com osprincpios da confidencialidade, integridade e disponibilidade.

Art. 5 As informaes da SRF devem ser classificadas em funo de suaimportncia e confidencialidade.

Art. 6 As medidas de segurana devem ser adotadas de forma proporcionalaos riscos existentes e magnitude dos danos potenciais, considerados oambiente, o valor e a criticidade da informao.

Pargrafo nico. Os dados e informaes devem ser mantidos com o mesmonvel de proteo, independente do meio no qual estejam armazenados, emque trafeguem ou do ambiente em que estejam sendo processados.

Art. 7 O acesso aos ativos de informao e ao ambiente informatizado da SRFdeve ser sempre motivado por necessidade de servio, devendo ser controladoe restrito s pessoas autorizadas.

1 As permisses de acesso so de uso exclusivo e intransfervel, nopodendo a pessoa autorizada deixar qualquer ativo de informao em condies

de ser utilizado com suas permisses de acesso por terceiros.

2 As permisses de acesso devem ser graduadas de acordo com asatribuies dos servidores.

3 O acesso ao ativo de informao no gera direito real sobre o mesmo enem sobre os frutos de sua utilizao.

Art. 8 Os servidores da SRF devem ser permanentemente treinados ecapacitados a exercerem as atividades inerentes rea de segurana dainformao, bem assim sobre as formas de proteo dos ativos de informao

sob sua responsabilidade, de acordo com programa de capacitao edesenvolvimento estabelecido pela Coordenao-Geral de Tecnologia eSegurana da Informao (Cotec).

DA SEGURANA NO AMBI ENTE I NFORMATI ZADO

Art. 9 O ambiente informatizado da SRF, com a finalidade de garantir osprincpios de confidencialidade, integridade e disponibilidade, deve possuir:

I - modelo de gesto, devidamente aprovado pela Cotec;

II - plano de contingncia que assegure a operao e a recuperao de ativosde informao em situaes de emergncia, de acordo com as necessidades eprazos especficos;


19/22




III - recursos de autenticao que garantam a identificao individual einequvoca do usurio, quando do acesso aos ativos de informao;

IV - recursos de criptografia;

V - mecanismos de proteo da rede da SRF, inclusive em suas interfaces comoutras redes e com a Internet;

VI - monitorao, em tempo real, com vistas a prover mecanismos depreveno, deteco, identificao e combate invaso (intruso);

VII - mecanismos de preveno, deteco e eliminao de vrus de computadore outros programas maliciosos;

VIII - sistemtica de gerao de cpias de segurana (backup) e derecuperao de informaes (restore) devidamente documentada, abrangendoperiodicidade de cpias, forma e local de armazenamento, autorizao de uso,prazo de reteno e plano de simulao e testes;

IX - medidas para verificao dos dados quanto a sua preciso e consistncia;

X - registro de informaes (log) com prazos de reteno e formas de acessodefinidas, com vistas a permitir a recuperao do sistema em caso de falha;

XI - registro de informaes (trilha de auditoria) com prazos de reteno e

formas de acesso definidas, com vistas a permitir auditoria, identificao desituaes de violao e contabilizao individual do uso dos sistemas;

XII - parmetros de normalidade de utilizao definidos; e

XIII - controle de acesso fsico s instalaes e equipamentos.

Art. 10. Os ambientes de produo, treinamento, prospeco, testes,homologao e desenvolvimento dos sistemas informatizados, localizados nasunidades da SRF ou em seus prestadores de servios, devem ser distintos e deexclusividade da SRF, observadas as regras definidas pela Cotec.

Art. 11. O desenvolvimento de software, em todas as fases do processo, aprospeco de produtos e servios e os procedimentos de homologao deverocontar com a participao de servidores em exerccio na rea de segurana dainformao.

Art. 12. No ambiente informatizado da SRF, devem ser utilizados e instaladossomente softwares homologados pela Cotec.

Pargrafo nico. O disposto no caput no se aplica aos ambientes deprospeco, testes e homologao.

Art. 13. Os softwares instalados nos equipamentos servidores, nosequipamentos de rede e comunicao e nas estaes de trabalho devem ser


20/22




permanentemente atualizados, visando incrementar aspectos de segurana ecorrigir falhas.

Art. 14. Os ativos de informao devem ser inventariados periodicamente por

servidores em exerccio na rea de tecnologia da informao, em relao aosaspectos atinentes a hardware, software e configuraes.

Art. 15. A eliminao de informao protegida por sigilo fiscal ou de usoexclusivo da SRF e de softwares instalados, constantes em dispositivos dearmazenamento, deve ser procedida mediante a utilizao de ferramentasadequadas eliminao segura dos dados, quando:

I - destinados, no mbito da SRF, a outro servidor;

II - houver alterao das atividades desempenhadas pelo servidor e o contedo

armazenado for prescindvel s novas atividades;

III - destinados a pessoas ou organizaes no autorizadas; e

IV - o dispositivo de armazenamento estiver danificado.

Pargrafo nico. Na hiptese prevista no inciso IV do caput, o dispositivo dearmazenamento dever ser destrudo se as informaes nele contidas nopuderem ser eliminadas.

Art. 16. Devem ser adotadas medidas adicionais de proteo, visando garantir o

mesmo nvel de segurana das instalaes internas da SRF, no caso de:

I - computao mvel;

II - acesso remoto ao ambiente informatizado da SRF;

III - operao de redes instaladas em recintos diferentes das unidades da SRF;

IV - equipamentos destinados ao acesso pblico; e

V - comunicao sem fio.

Art. 17. O trfego de informaes em redes locais e de longa distncia deve serprotegido contra danos, perdas, indisponibilidades, uso ou exposio indevidos,de acordo com seu valor, criticidade e confidencialidade.

1 O trfego de dados deve ser efetuado por meio de canais privativos, sejameles fsicos ou virtuais, que provejam criptografia e autenticao.

2 As redes devem possuir rotas alternativas e contar com mecanismos deredundncia.

Art. 18. vedada a alterao dos mecanismos e configuraes definidos pelaCotec, incluindo:


21/22




I - infra-estrutura eltrica;

II - infra-estrutura lgica;

III - equipamentos de rede e de conectividade;

IV - equipamentos servidores;

V - estaes de trabalho fixas;

VI - estaes de trabalho mveis;

VII - sistemas operacionais;

VIII - softwares em geral; e

IX - dispositivos de comunicao sem fio.

Art. 19. A Cotec editar e manter atualizado Manual de Procedimentos deSegurana, que servir de referncia para certificao de conformidade dosambientes gerenciados pela SRF e pelos prestadores de servios, devendoabranger, dentre outros, os seguintes aspectos:

I - segurana fsica das instalaes onde se encontram os recursos doambiente;

II - configurao dos equipamentos servidores, de rede e de comunicaes,bem assim das estaes de trabalho;

III - atualizao dos softwares em uso na SRF;

IV - preveno, deteco e eliminao de vrus de computador;

V - cpia de segurana (backup) e recuperao;

VI - uso, armazenamento e destruio de informaes; e

VII - transmisso e compactao de dados.

DAS RESPONSABI LI DADES I NSTI TUCI ONAI S E FUNCI ONAI S

Art. 20. responsabilidade de todos os servidores cuidar da integridade,confidencialidade e disponibilidade dos ativos de informao da SRF.

Pargrafo nico. O servidor deve comunicar por escrito quaisquerirregularidades, falhas ou desvios identificados chefia imediata e rearesponsvel pela segurana da informao da sua unidade da SRF.

Art. 21. proibida a explorao de falhas ou vulnerabilidades porventuraexistentes nos ativos de informao da SRF.


22/22



Pargrafo nico. A Cotec poder autorizar testes controlados para identificar aexistncia de falhas ou vulnerabilidades nos ativos de informao da SRF.

Art. 22. Cabe Cotec:

I - gerenciar o processo de implantao e aplicao das normas constantesnesta Portaria;

II - definir os agentes intervenientes, bem assim as respectivas atribuies,necessrios para garantir o fiel cumprimento desta Portaria;

III - regulamentar o acesso aos ativos de informao da SRF;

IV - realizar, periodicamente, auditoria de segurana e anlise de risco evulnerabilidades nos ambientes operacionais e nos sistemas de informao

localizados nos prestadores de servios e nas prprias instalaes nas unidadesda SRF; e

V - dirimir eventuais dvidas relativas aos procedimentos regulamentados; e

VI - expedir normas complementares.

Art. 23. O descumprimento das disposies constantes nesta Portaria e demaisnormas sobre segurana da informao caracteriza infrao funcional, a serapurada em processo administrativo disciplinar, sem prejuzo dasresponsabilidades penal e civil.

DAS DI SPOSI ES FI NAI S

Art. 24. Os contratos de prestao de servios e convnios celebrados pela SRFdevem contemplar, quando aplicveis, as normas de segurana institudas poresta Portaria e demais normas relativas segurana da informao.

Art. 25. A Cotec editar, no prazo de trinta dias contados desta data, normascomplementares ao disposto nesta Portaria.

Art. 26. Esta Portaria entra em vigor em 1 de junho de 2004.

Art. 27. Fica formalmente revogada, a partir de 1 de junho de 2004, seminterrupo de sua fora normativa, a Portaria SRF n 782, de 20 de junho de1997.

JORGE ANTON I O DEHER RACHI D

04 (extra) -Ética - prof. anderson

Documents