O REITOR DA UNIVERSIDADE FEDERAL DE SANTA MARIA, no uso de suas atribuições legais e estatutárias e considerando:

- a Constituição da República Federativa do Brasil de 1988, de 05 de outubro de 1988;

- a Lei Complementar N. 95, de 26 de fevereiro de 1998, que dispõe sobre a elaboração, a redação, a alteração e a consolidação das leis, conforme determina o Parágrafo Único do Art. 59 da Constituição Federal, e estabelece normas para a consolidação dos atos normativos que menciona;

- a Lei N. 8.112, de 11 de dezembro de 1990, que dispõe sobre o regime jurídico dos servidores públicos civis da União, das autarquias e das fundações públicas federais;

- a Lei N. 9.394, de 20 de dezembro de 1996, que estabelece as diretrizes e bases da educação nacional e suas alterações;

- a Lei nº 9.610, de 19 de fevereiro de 1998, que altera, atualiza e consolida a legislação sobre direitos autorais e dá outras providências;

- a Lei nº 12.527, de 18 de novembro de 2011, que regula o acesso a informações previsto no inciso XXXIII do art. 5º, no inciso II do § 3º do art. 37 e no § 2º do art. 216 da Constituição Federal; altera a Lei nº 8.112, de 11 de dezembro de 1990; revoga a Lei nº 11.111, de 5 de maio de 2005, e dispositivos da Lei nº 8.159, de 8 de janeiro de 1991; e dá outras providências;

- a Lei nº 12.965, de 23 de abril de 2014, que estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil. Marco Civil da Internet;

- a Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (LGPD), alterada pela Lei nº 13.853, de 8 de julho de 2019;

- o Decreto n. 1.171, de 22 de junho de 1994, que dispõe sobre o Código de Ética Profissional do Servidor Público Civil, do Poder Executivo Federal;

- o Decreto nº 7.724, de 16 de maio de 2012 que Regulamenta a Lei nº 12.527, de 18 de novembro de 2011, que dispõe sobre o acesso a informações previsto no inciso XXXIII do caput do art. 5º, no inciso II do § 3º do art. 37 e no § do art. 216 da Constituição;

- o Decreto nº 7.845, de 14 de novembro de 2012, que regulamenta procedimentos para credenciamento de segurança e tratamento de informação classificada em qualquer grau de sigilo, e dispõe sobre o Núcleo de Segurança e Credenciamento;

- o Decreto N. 9.191, de 1º de novembro de 2017, que estabelece as normas e as diretrizes para elaboração, redação, alteração, consolidação e encaminhamento de propostas de atos normativos ao Presidente da República pelos Ministros de Estado;

- o Decreto nº 9.637 de 26 de dezembro de 2018, que institui a Política Nacional de Segurança da Informação no âmbito da administração pública federal, alterado pelos Decretos nº 9.832, de 12 de junho de 2019 e nº 10.641, de 2 de março de 2021;

- o Decreto nº 10.160 de dezembro de 2019, que Institui a Política Nacional de Governo Aberto e o Comitê Interministerial de Governo Aberto;

- o Decreto nº 10.222, de 5 de fevereiro de 2020, que aprova a Estratégia Nacional de Segurança Cibernética;

- o Decreto nº 10.332 de 28 de abril de 2020, que institui a Estratégia de Governo Digital para o período de 2020 a 2022, no âmbito dos órgãos e das entidades da administração pública federal direta, autárquica e fundacional e dá outras providências, alterado pelo Decreto nº 10.996, de 14 de março de 2022;

- a Instrução Normativa nº 1, de 27 de maio de 2020 do Gabinete de Segurança Institucional da Presidência da República que dispõe sobre a Estrutura de Gestão da Segurança da Informação nos órgãos e nas entidades da administração pública federal, alterada pela Instrução Normativa nº 2 de 24 de julho de 2020;

- a Instrução Normativa nº 3 de 28 de maio de 2021 do Gabinete de Segurança Institucional da Presidência da República que dispõe sobre os processos relacionados à gestão de segurança da informação nos órgãos e nas entidades da administração pública federal;

- a Instrução Normativa nº 5 de 30 de agosto de 2021 do Gabinete de Segurança Institucional da Presidência da República que dispõe sobre os requisitos mínimos de segurança da informação para utilização de soluções de computação em nuvem pelos órgãos e pelas entidades da administração pública federal;

- a Instrução Normativa nº 6 de 23 de dezembro de 2021 do Gabinete de Segurança Institucional da Presidência da República que estabelece diretrizes de segurança da informação para o uso seguro de mídias sociais nos órgãos e nas entidades da administração pública federal;

- a Portaria nº 93, de 26 de setembro de 2019 do Gabinete de Segurança Institucional da Presidência da República que aprova o Glossário de Segurança da Informação;

- a Norma Complementar nº 05, de 17 de agosto de 2009, do Gabinete de Segurança Institucional da Presidência da República, que disciplina a criação de Equipes de Tratamento e Respostas a Incidentes em Redes Computacionais - ETIR nos órgãos e entidades da Administração Pública Federal;

- a Norma Complementar nº 08, de 19 de agosto de 2010, do Gabinete de Segurança Institucional da Presidência da República, que dispõe as Diretrizes para Gerenciamento de Incidentes em Redes Computacionais nos órgãos e entidades da Administração Pública Federal;

- a Norma Complementar nº 09 (Revisão 02), de 15 de julho de 2014, do Gabinete de Segurança Institucional da Presidência da República, que dispõe sobre a Gestão de Continuidade de Negócios em Segurança da Informação e Comunicações no âmbito da Administração Pública Federal, direta e indireta;

- a Norma Complementar nº 12, de 30 de janeiro de 2012, do Gabinete de Segurança Institucional da Presidência da República, dispõe sobre o Uso de Dispositivos nos aspectos relativos à Segurança da Informação e Comunicações nos órgãos e entidades da Administração Pública Federal;

- a Norma Complementar nº 17, de 09 de abril de 2013, do Gabinete de Segurança Institucional da Presidência da República, dispõe sobre a Atuação e Adequações para Profissionais da Área de Segurança da Informação e Comunicações nos órgãos e entidades da Administração Pública Federal;

- a Norma Complementar nº 18, de 09 de abril de 2013, do Gabinete de Segurança Institucional da Presidência da República, dispõe sobre as Diretrizes para as Atividades de Ensino em Segurança da Informação e Comunicações nos órgãos e entidades da Administração Pública Federal;

- a Norma Complementar nº 20, de 15 de dezembro de 2014 (Revisão 01), do Gabinete de Segurança Institucional da Presidência da República, dispõe sobre as Diretrizes de Segurança da Informação e Comunicações para Instituição do Processo de Tratamento da Informação nos órgãos e Entidades da Administração Pública Federal;

- a Norma Complementar nº 21, de 08 de outubro de 2014, do Gabinete de Segurança Institucional da Presidência da República, dispõe sobre as Diretrizes para o Registro de Eventos, Coleta e Preservação de Evidências de Incidentes de Segurança em Redes;

- a Norma Técnica Brasileira ISO/IEC 27001:2013, da Associação Brasileira de Normas Técnicas, que normatiza os requisitos dos Sistemas de Gestão de Segurança da Informação;

- a Norma Técnica Brasileira ISO/IEC 27002:2013, da Associação Brasileira de Normas Técnicas, que trata do Código de Prática para a Gestão da Segurança da Informação;

- o Estatuto da Universidade Federal de Santa Maria com as adequações aprovadas pela Resolução UFSM N. 037, de 30 de novembro de 2010, aprovado pela Portaria N. 156, de 12 de março de 2014, e publicado no Diário Oficial da União em 13 de março de 2014;

- o Regimento da UFSM, disposto na Resolução UFSM N. 006, de 28 de abril de 2011, atualizado pela Resolução UFSM N. 016, de 02 de julho de 2019;

- a Resolução UFSM N. 054, de 1º de junho de 2021, que regulamenta a proposição e a emissão de Atos Normativos no âmbito da Universidade Federal de Santa Maria;

- a Resolução UFSM Nº 080 de 18 de fevereiro de 2022, que aprova a criação do órgão colegiado denominado Comitê de Segurança da Informação da Universidade Federal de Santa Maria (CSI-UFSM), vinculado à Universidade Federal de Santa Maria (UFSM).

- o Parecer N. 029/2023 da Comissão de Legislação e Regimentos (CLR), aprovado na 860ª Sessão do Conselho Universitário (CONSU), de 31 de março de 2023, referente ao Processo N. 23081. 006901/2023-52.

RESOLVE:

Art. 1º Definir a Política de Segurança da Informação (PoSIN) no âmbito da Universidade Federal de Santa Maria (UFSM).

Art. 2º Para elaboração desta PoSIN serão adotados os conceitos e definições descritos conforme disposto na Portaria GSI/PR nº 93, de 26 de setembro de 2019, que aprova o Glossário de Segurança da Informação.

CAPÍTULO I

DO OBJETIVO, DOS PRINCÍPIOS E DA ABRANGÊNCIA

Art. 3º A PoSIN tem por objetivo instituir diretrizes e princípios de Segurança da Informação no âmbito da UFSM, com o propósito de limitar a exposição ao risco a níveis aceitáveis e garantir a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações que suportam os objetivos estratégicos da Instituição.

Art. 4º A PoSIN e suas normas complementares deverão ser orientados pelos seguintes princípios:

I - necessidade de conhecer;

II - conscientização;

III - resiliência;

IV - conformidade em segurança da informação e comunicações;

V - confidencialidade;

VI - auditoria;

VII - segregação de funções;

VIII - mínima dependência de segredos;

IX - controles automáticos;

X - defesa em profundidade;

XI - exceção aprovada;

XII - substituição da segurança em situações de emergência; e,

XII - em conformidade com os princípios constitucionais e administrativos que regem a Administração Pública Federal.

Art. 5º A PoSIN e suas normas complementares aplicam-se a todas as unidades e subunidades da UFSM, bem como a docentes, discentes, técnico-administrativos em educação, colaboradores (as) terceirizados (as), estagiários (as), bolsistas e a quem de alguma forma tenha acesso aos ativos de informação da Instituição.

CAPÍTULO II

DAS RESPONSABILIDADES

Art. 6º A Segurança da Informação é de responsabilidade da Administração Superior da USM, a qual é responsável por designar um Gestor de Segurança da Informação interno, assim como por prover a orientação e o apoio necessários às ações de segurança da informação, de acordo com os objetivos estratégicos e com as leis e regulamentos pertinentes.

Art. 7º É de responsabilidade dos demais gestores da UFSM zelar pelo cumprimento das diretrizes desta política no âmbito de suas áreas de atuação.

Art. 8º Os membros do Comitê de Segurança da Informação da UFSM, regulamentado pela Resolução UFSM N. 080/2022, deverão receber, regularmente, capacitação especializada em segurança da informação.

Art. 9º É de responsabilidade de todos que têm acesso aos ativos de informação da UFSM manter níveis de segurança da informação adequados, segundo preceitos desta política e de suas normas complementares:

I - tomar conhecimento desta PoSIN, suas normas e procedimentos;

II - cumprir todos os princípios, diretrizes e responsabilidades desta PoSIN, bem como as demais normativas criadas a partir dela; e,

III - comunicar imediatamente à Equipe de Prevenção, Tratamento e Respostas a Incidentes Cibernéticos (ETIR/UFSM) a respeito de qualquer violação a esta PoSIN ou às suas normativas de que tiver conhecimento.

CAPÍTULO III

DAS DIRETRIZES DE SEGURANÇA DA INFORMAÇÃO

Art. 10. As diretrizes de segurança de informação devem considerar, prioritariamente, os requisitos legais, os objetivos estratégicos, a estrutura e a finalidade da UFSM.

Art. 11. A PoSIN será complementada por normas e procedimentos.

Parágrafo único. Deverão ser elaboradas normas e procedimentos:

I – que visem garantir a integridade, a confidencialidade e a disponibilidade das informações, incluindo procedimentos para a criação, manutenção e verificação dos ativos de informação e de suas cópias de segurança;

II - de proteção às instalações físicas e áreas de processamento de informações contra acesso indevido, danos e interferências;

III - que estabeleçam diretrizes para tratamento e resposta a incidentes de segurança da informação, bem como para sua identificação, registro e monitoramento;

IV - que definam diretrizes específicas para o uso dos Recursos Operacionais e de Comunicações;

V - que garantam a segurança da informação em ambientes de computação móvel e de trabalho remoto, considerando que ambientes de computação móvel e de trabalho remoto são necessários para a consecução das atividades da UFSM e que podem consistir em pontos fracos do sistema de gestão de segurança; e,

VI - que garantam a proteção do controle de acesso às informações, instalações e a rede de computadores.

Art. 12. As normas e procedimentos de segurança de informação da UFSM devem considerar, subsidiariamente, políticas governamentais, normas federais e padrões aceitos no mercado como referência nos processos de gestão e governança.

Art. 13. Esta PoSIN, bem como as normas e procedimentos de segurança de informação associados, deverão ter ampla divulgação, de forma a garantir que todos entendam suas responsabilidades e ajam de acordo com os preceitos desta Política.

Art. 14. Os custos associados à Gestão de Segurança da Informação deverão ser compatíveis com os custos dos ativos que se deseja proteger.

Art. 15. Os processos e atividades que sustentam os serviços críticos disponibilizados pela UFSM devem ser protegidos de forma a garantir a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações.

Art. 16. A Gestão de Segurança da Informação deve suportar a tomada de decisões, bem como realizar a gestão de conhecimento e de recursos por meio da utilização eficiente e eficaz dos ativos, possibilitando alcançar os objetivos estratégicos da UFSM, assim como, otimizar seus investimentos.

Seção I

Das Diretrizes sobre Tratamento da Informação

Art. 17. A UFSM deve criar, gerir e avaliar critérios de tratamento da informação de acordo com a finalidade, necessidade, sigilo requerido, relevância, criticidade e sensibilidade, com o objetivo de minimizar riscos às atividades e serviços da instituição observando a adequação à legislação em vigor.

Seção II

Das Diretrizes sobre Gestão de Incidentes em Segurança da Informação

Art. 18. Com relação à gestão de incidentes de segurança da informação, os mesmos devem ser identificados, monitorados, comunicados e devidamente tratados, em tempo hábil, de forma a garantir a continuidade das atividades e a não intervenção no alcance dos objetivos estratégicos da UFSM.

Art. 19. Deverá ser mantida permanentemente uma ETIR/UFSM com o objetivo de atuar na análise, tratamento e resposta a incidentes relacionados à segurança da informação na UFSM e contribuir para o esforço de cibersegurança da comunidade acadêmica e seus sistemas.

Seção III

Das Diretrizes sobre Gestão de Ativos

Art. 20. Os ativos de informação da UFSM são elementos fundamentais para o atendimento dos objetivos estratégicos, portanto ações de segurança específicas deverão garantir a proteção adequada dos mesmos, sendo que os níveis de proteção deverão variar de acordo com a criticidade do ativo para a Instituição.

Parágrafo único. Deverão ser elaboradas normas e procedimentos que garantam e estipulem diretrizes para a proteção dos diferentes tipos ativos.

Art. 21. A gestão de ativos de informação deverá observar normas operacionais e procedimentos específicos para garantir a sua operação segura e contínua.

Art. 22. Os ativos de informação devem ter controles de segurança implementados independentemente do meio em que se encontram e deverão ser protegidos contra divulgação não autorizada, modificações, remoção ou destruição, de forma a evitar incidentes de segurança que possam danificar a imagem da instituição e interromper suas operações.

Art. 23. Os ativos de informação devem ser inventariados respeitando as normas e legislações vigentes, as diretrizes para inventário e mapeamento dos ativos serão definidas em normas específicas.

Art. 24. As pessoas que, de alguma maneira, tenham acesso aos ativos de informação da instituição, devem ser periodicamente conscientizadas, capacitadas e sensibilizadas em assuntos de segurança e de tratamento da informação, de forma a garantir o entendimento e a prática efetiva da segurança da informação.

Art. 25. A utilização dos ativos de tecnologia da informação e comunicação disponibilizados pela UFSM é passível de auditoria, devendo ser implementados e mantidos, à medida do possível e respeitando a legislação vigente, mecanismos que permitam a sua rastreabilidade.

Seção IV

Das Diretrizes sobre Gestão do Uso dos Recursos Operacionais e de Comunicação

Art. 26. O endereço de e-mail fornecido pela UFSM é um recurso de comunicação institucional, passível de auditoria.

Parágrafo único. As regras de acesso e utilização do e-mail devem atender a todas as diretrizes desta PoSIN e das normas específicas, além das legislações vigentes.

Art. 27. No que tange ao acesso à rede mundial de computadores (Internet) da UFSM, o qual é destinado para fins de ensino, pesquisa, extensão, inovação e serviços técnicos especializados, no contexto da instituição, os usuários devem observar as normas específicas, atendendo orientações desta PoSIN, e demais orientações governamentais e legislação em vigor.

Art. 28. O acesso à Internet deve ser utilizado, prioritariamente, para atender às atividades acadêmicas e administrativas da UFSM e, respeitando a legislação vigente, fica autorizada, quando houver justificativa técnica, a degradação, a priorização ou a aplicação de controles para respeito destas finalidades.

Parágrafo único. O acesso à Internet no âmbito da UFSM é fornecido para fins diretos e complementares às atividades da instituição, sendo, portanto, passível de registro e auditoria sempre respeitando a legislação vigente.

Art. 29. Os usuários da UFSM devem ser orientados a respeito dos procedimentos de segurança acerca dos dispositivos que lhes forem disponibilizados, mediante a assinatura de Termo de Uso e Responsabilidade.

Parágrafo único. Todos os dispositivos deverão ser protegidos com mecanismos de controle de acesso e autenticação.

Art. 30. Na adoção de serviços de computação na nuvem deverão ser elaboradas normas e procedimentos respeitando esta PoSIN, bem como instituindo diretrizes sobre como se dará o tratamento da informação nesses serviços respeitando a legislação e restrições vigentes.

Seção V

Das Diretrizes sobre Controles de Acesso

Art. 31. O controle de acesso ao ativo de informação deverá ser implantado nos níveis físico e lógico, e conforme a classificação que lhe for atribuída, baseado na sua criticidade e importância para a instituição e na legislação vigente.

Art. 32. Todos os sistemas ou ativos críticos deverão possuir um responsável, formalmente designado pela autoridade competente, que deve definir os privilégios e/ou papéis necessários para cada acesso.

Art. 33. A identificação, a autorização, a autenticação e o interesse do serviço são condicionantes prévios para concessão de acessos.

Art. 34. Deverão ser definidas regras específicas para autorização de acesso em conformidade com a criticidade de cada ativo de informação.

Art. 35. Cada usuário deve ter acesso apenas aos ativos necessários e indispensáveis ao seu trabalho, respeitando o princípio de necessidade de conhecer.

Art. 36. Todo acesso aos recursos deverá ser realizado por meio de uma conta pessoal e intransferível.

Art. 37. A concordância expressa aos preceitos desta PoSIN e suas normas complementares é condição necessária para o acesso aos ativos de informação da UFSM.

Art. 38. Todos os usuários deverão ser responsabilizados por quebra de segurança ocorrida com a utilização de sua respectiva conta de acesso em um ativo, mediante assinatura de Termo de Uso e Responsabilidade que deverá ser definido em normas específicas e assinado individualmente pelos usuários.

Art. 39. Os registros de acesso à rede de computadores deverão ser armazenados por, no mínimo, 1 (um) ano.

Parágrafo único. Os demais registros deverão ser mantidos por, no mínimo, 6 (seis) meses.

Seção VI

Das Diretrizes sobre Gestão de Riscos

Art. 40. A gestão de riscos tem como objetivo reduzir as vulnerabilidades, evitar as ameaças, minimizar a exposição aos riscos e atenuar os impactos associados aos ativos da organização, sendo que deverá ser estabelecido um processo contínuo que possibilite a identificação, a quantificação, a priorização, o tratamento, a comunicação e a monitoração periódica dos riscos.

Art. 41. O processo de gestão de riscos de segurança da informação deve estar alinhado com o modelo de gestão de riscos institucional, compatível com a missão e os objetivos estratégicos da UFSM.

Seção VII

Das Diretrizes sobre Gestão de Continuidade

Art. 42. Com relação à Gestão de Continuidade do Negócio, ressalta-se que a interrupção das atividades da UFSM leva à suspensão de serviços críticos prestados ao cidadão e poderá resultar em grave dano à imagem da organização, portanto, deverão ser elaboradas normas e procedimentos que estabeleçam a Gestão de Continuidade do Negócio para minimizar os impactos decorrentes de eventos que causem a indisponibilidade sobre os serviços da UFSM, além de recuperar perdas de ativos de informação a um nível estabelecido, por intermédio de ações de prevenção, resposta e recuperação.

Art. 43. O processo de Gestão de Continuidade de Negócios em segurança da informação deve ser baseado nas estratégias de continuidade para as atividades críticas, na avaliação dos riscos levantados no processo de gestão de riscos e em diretrizes institucionais sobre Gestão de Continuidade de Negócio.

Seção VIII

Das Diretrizes sobre Gestão de Operações e Comunicações

Art. 44. Dada a importância estratégica que os recursos de processamento da informação têm para a consecução dos objetivos da UFSM, ações de segurança deverão garantir a operação segura e correta desses recursos.

Art. 45. As interfaces com terceiros são importantes canais de informação que, sem um nível de segurança adequado, poderão levar a Instituição a uma elevada exposição a riscos tendo como objetivo de reduzir os riscos associados, o gerenciamento dos serviços terceirizados deverá manter os níveis apropriados de segurança da informação e da entrega dos serviços.

Art. 46. A troca de informações, tanto internamente, quanto externamente, deverão ser reguladas de forma a manter o nível adequado de segurança.

Art. 47. As operações deverão ser adequadamente monitoradas visando detectar o mais breve possível atividades não autorizadas.

CAPÍTULO IV

DA AUDITORIA E CONFORMIDADE

Art. 48. O cumprimento desta PoSIN deverá ser avaliado periodicamente por meio de verificações de conformidade realizadas pela Administração Superior e pelo Comitê de Segurança da Informação, que poderá solicitar o apoio de entidades externas e independentes.

Art. 49. Os controles de segurança da informação devem ser analisados criticamente e verificados em períodos regulares, tendo por base as conformidades com legislações, políticas, padrões, normas, ferramentas, manuais de procedimentos e outros documentos pertinentes.

Art. 50. De forma a obter o absoluto cumprimento destes instrumentos legais e normativos, devem ser instituídos processos de análise e tratamento de conformidade, visando garantir o atendimento das leis, regulamentos e normas que regem as atividades no âmbito da Administração Pública Federal.

CAPÍTULO V

DA EQUIPE DE PREVENÇÃO, TRATAMENTO E RESPOSTAS A INCIDENTES CIBERNÉTICOS (ETIR/UFSM)

Art. 51. A ETIR/UFSM possui como Missão, “atuar na análise, tratamento e resposta a incidentes e vulnerabilidades relacionados à segurança da informação na UFSM e contribuir para a criação de uma cultura de cibersegurança da comunidade acadêmica e seus sistemas’.

Art. 52. Tem como Público Alvo, toda comunidade acadêmica (tais como: servidores técnico-administrativo, docentes, pesquisadores, estudantes, bolsistas, estagiários, prestadores de serviço) e outras pessoas que mantiverem vínculo institucional com a UFSM, que são usuários dos serviços de Tecnologia da Informação e Comunicação disponibilizados pelo Centro de Processamento de Dados (CPD) da UFSM, endereços IP, domínios da instituição e demais ativos de rede e de dados.

Art. 53. A ETIR/UFSM adotará o modelo de implementação misto, com uma Equipe Central e uma Equipe Descentralizada, no qual a Equipe Central será responsável por criar as estratégias e distribuir tarefas para os integrantes da Equipe Descentralizada que serão responsáveis por implementar as estratégias e exercer suas atividades em suas respectivas áreas de responsabilidade.

§1º A ETIR/UFSM funcionará de forma permanente e será subordinada tecnicamente ao Centro de Processamento de Dados (CPD) da UFSM.

§2º O Diretor (a) da Divisão de Suporte do CPD atuará como Agente Responsável pela ETIR/UFSM.

Art. 54. A Equipe Descentralizada será composta por servidores efetivos distribuídos entre diferentes unidades da UFSM, sendo:

I - No mínimo 2 (Dois/duas) servidores(as) de cada Divisão do CPD; e,

II - 1 (Um/a) servidor (a) Técnico de Tecnologia da Informação ou Analista de Tecnologia da Informação de cada uma das Unidades de Ensino existentes no Campus de Santa Maria e demais.

Art. 55. A ETIR Central será composta por:

I - Diretor (a) da Divisão de Suporte do CPD;

II - 2 (Dois/duas) servidores(as) do CPD; e,

III - 1 (Um/a) servidor (a) da Coordenadoria de Comunicação Social da UFSM.

§ 1º O CPD solicitará a indicação dos integrantes às respectivas chefias e o Reitor/Vice-Reitora emitirá a portaria de nomeação.

§ 2º Poderão ser convocados (as) servidores (as) das demais unidades da UFSM quando for necessário:

I - por atribuição, eventuais convocações de servidores (as) devem ser intermediadas pela Pró-Reitoria de Gestão de Pessoas (PROGEP), enquanto órgão seccional do SIPEC (Sistema de Pessoal Civil da administração federal), junto às chefias imediatas.

Art. 56. Compete ao Gestor de Segurança da Informação e Comunicações da UFSM:

I - prover a infraestrutura necessária para funcionamento da ETIR/UFSM; e,

II - prover os meios necessários para a capacitação e o aperfeiçoamento dos membros da ETIR/UFSM.

Art. 57. Compete ao Agente Responsável pela ETIR/UFSM:

I - ser o agente de contato com o Centro de Tratamento e Resposta a Incidentes de Segurança em Redes de Computadores da Administração Pública Federal (CTIR GOV);

II - chefiar e gerenciar a Equipe Central e a Equipe Descentralizada da ETIR/UFSM, nos limites de atuação da ETIR/UFSM e sem prejuízo a subordinação administrativa decorrentes da sua posição na estrutura administrativa da UFSM em que se encontrem.

Art. 58. Compete à Equipe Central da ETIR/UFSM:

I - criar as estratégias para atingir a missão e distribuir tarefas para os integrantes da Equipe Descentralizada;

II - receber, analisar, classificar as notificações e atividades relacionadas a incidentes de segurança em redes computacionais da instituição; e,

III - prestar apoio ao CTIR GOV com informações necessárias à atualização e manutenção das bases de dados de incidentes do Governo Federal.

Art. 59. Compete à Equipe Descentralizada da ETIR/UFSM:

I - realizar as tarefas distribuídas pelo Agente Responsável pela ETIR e pela Equipe Central da ETIR/UFSM; e,

II - responder às notificações e atividades relacionadas a incidentes de segurança em redes computacionais da instituição dentro da sua área de atuação.

Art. 60. Compete a todos os integrantes da ETIR/UFSM:

I - elaborar o Processo de Tratamento e Resposta a Incidentes em Redes Computacionais com apoio do Comitê de Segurança da Informação da UFSM;

II - auxiliar o Comitê de Segurança da Informação na tomada de decisões, quando necessário;

III - investigar as causas dos incidentes de segurança da informação na rede de computadores da instituição; e,

IV - implementar soluções para identificar ações maliciosas nas redes computacionais da instituição para evitar futuros incidentes.

Art. 61. O tipo de autonomia adotada pela ETIR/UFSM será do tipo compartilhada, na qual a equipe trabalhará em conjunto com outras unidades com a finalidade de participar do processo de tomada de decisão sobre quais ações que devem ser adotadas.

Parágrafo único. Caso necessário e justificável, a ETIR/UFSM adotará a autonomia completa, na qual a equipe poderá tomar decisões de executar ações imediatas no tratamento de incidentes sem esperar pela aprovação de níveis superiores.

Art. 62. A ETIR/UFSM atuará nos seguintes serviços:

I - Tratamento de Incidentes de Segurança em Redes Computacionais: consiste em receber, filtrar, classificar e responder às solicitações e alertas e realizar as análises dos incidentes de segurança, procurando extrair informações que permitam impedir a continuidade da ação maliciosa e também a identificação de tendências;

II - Tratamento de Vulnerabilidades: consiste em desenvolver estratégias para detectar e corrigir vulnerabilidades em hardware ou software, objetivando analisar sua natureza, mecanismo e suas consequências;

III - Emissão de Alertas e Advertências: consiste em divulgar alertas ou advertências imediatas como uma reação diante de um incidente de segurança, com o objetivo de advertir ou dar orientações sobre como os usuários deve agir diante de um problema;

IV - Disseminação da cultura em segurança da informação: consiste em conscientizar os usuários, através de palestras em seminários ou cursos, sobre as ameaças digitais que possam comprometer a segurança da informação na instituição;

V - Prospecção de novas tecnologias relacionadas à segurança da informação: consiste em prospectar e/ou monitorar o uso de novas técnicas das atividades e tendências relacionadas à segurança da informação bem como engloba o estudo e acompanhamento de necessidades de segurança da informação na UFSM. Este serviço inclui a participação em listas de discussão sobre incidentes de segurança em redes de computadores e o acompanhamento de notícias na mídia em geral sobre o tema.

Parágrafo único. Os integrantes da Equipe Central da ETIR/UFSM poderão dedicar até 1 (uma) hora diária para os serviços de Emissão de Alertas e Advertências, Disseminação da cultura em segurança da informação e Prospecção de novas tecnologias relacionadas à segurança da informação.

CAPÍTULO VI

DAS PENALIDADES

Art. 63. Ações que violem a PoSIN ou que quebrem os controles de segurança da informação e comunicações serão passíveis de sanções civis, penais e administrativas, conforme a legislação em vigor, que podem ser aplicadas isoladamente ou cumulativamente.

Art. 64. Para apurar as ações que constituem a quebra das diretrizes impostas por esta PoSIN, deverá ser elaborado um processo disciplinar específico.

CAPÍTULO VII

DA ATUALIZAÇÃO

Art. 65. Esta PoSIN, bem como os instrumentos normativos gerados a partir dela, deve ser revisada e atualizada periodicamente no máximo a cada 4 (quatro) anos, caso não ocorram eventos ou fatos relevantes que exijam uma revisão imediata.

Art. 66. Compete ao Comitê de Segurança da Informação da UFSM apresentar proposta de revisão da PoSIN, de modo a atualizar a política frente a novos requisitos corporativos, segundo a legislação vigente.

Art. 67 Esta Resolução entra em vigor em 02 de maio de 2023, de acordo com o que prevê o Artigo 4º do Decreto N. 10.139, de 28 de novembro de 2019, revogando a Resolução N. 009, de 02 de abril de 2013, que aprova o Regulamento da Política de Segurança da Informação e Comunicações - PoSIC da Universidade Federal de Santa Maria.

Parágrafo único. Havendo qualquer modificação legislativa, ou ainda, havendo qualquer situação legal que impacte na legalidade da presente Resolução, a mesma se aplica de imediato.

Luciano Schuch,

Reitor.

Este texto não substitui o documento original, publicado no Portal de Documentos. Disponível em: https://portal.ufsm.br/documentos/publico/documento.html?id=14626597