{"id":2810,"date":"2019-11-27T15:10:50","date_gmt":"2019-11-27T18:10:50","guid":{"rendered":"https:\/\/www.ufsm.br\/pro-reitorias\/proplan\/?page_id=2810"},"modified":"2023-08-02T12:25:31","modified_gmt":"2023-08-02T15:25:31","slug":"regulamento-da-politica-de-seguranca-da-informacao-e-comunicacoes-posic-2013","status":"publish","type":"page","link":"https:\/\/www.ufsm.br\/pro-reitorias\/proplan\/regulamento-da-politica-de-seguranca-da-informacao-e-comunicacoes-posic-2013","title":{"rendered":"Regulamento da Pol\u00edtica de Seguran\u00e7a da Informa\u00e7\u00e3o e Comunica\u00e7\u00f5es – PoSIC (2013)"},"content":{"rendered":"\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\r\n\r\n\r\n<b>REGULAMENTO DA POL\u00cdTICA DE SEGURAN\u00c7A DA INFORMA\u00c7\u00c3O E COMUNICA\u00c7\u00d5ES - PoSIC<\/b><\/title>\r\n\r\n\r\n<div align=\"center\"><img decoding=\"async\" src=\"https:\/\/www.ufsm.br\/pro-reitorias\/proplan\/wp-content\/uploads\/sites\/344\/2019\/09\/brasao-da-republica-do-brasil-logo.png\" alt=\"Bras\u00e3o Rep\u00fablica Federativa do Brasil\" width=\"6%\" height=\"6%\"><\/div> \r\n<h1><font color=\"blue\"><font size=\"5\"><div align=\"center\">MINIST\u00c9RIO DA EDUCA\u00c7\u00c3O<\/b><\/font><\/font><\/div><\/H1>\r\n<p><b><font color=\"0000blue\"><div align=\"center\">UNIVERSIDADE FEDERAL DE SANTA MARIA<\/b><\/font><\/div><\/p>\r\n\r\n<p><div align=\"center\"><b><a href=\"https:\/\/portal.ufsm.br\/documentos\/publico\/documento.html?id=12839577\"><font color=\"blue\">REGULAMENTO DA POL\u00cdTICA DE SEGURAN\u00c7A DA INFORMA\u00c7\u00c3O E COMUNICA\u00c7\u00d5ES - PoSIC<\/font><\/a><\/b><\/div><\/p>\r\n<br>\r\n<p><font color=\"black\">(Revogado pela <\/font> <a href=\"https:\/\/www.ufsm.br\/pro-reitorias\/proplan\/resolucao-ufsm-n-121-2023\" target=\"_blank\"><\/a> <font color=\"blue\">Resolu\u00e7\u00e3o UFSM N. 121\/2023<\/font><\/a>)<\/p>\r\n<br>\r\n<p><s><b><div align=\"center\">CAP\u00cdTULO I<\/b><\/div><\/p>\r\n<p><b><div align=\"center\">DO OBJETIVO<\/b><\/div><\/p>\r\n<br><div align=\"justify\">\r\n<br>\r\n<p>Art. 1\u00ba A Pol\u00edtica de Seguran\u00e7a da Informa\u00e7\u00e3o e Comunica\u00e7\u00f5es \u2014 PoSIC tem por objetivo instituir diretrizes e princ\u00edpios de Seguran\u00e7a da Informa\u00e7\u00e3o e Comunica\u00e7\u00f5es (SIC) no \u00e2mbito da Universidade Federal de Santa Maria, com o prop\u00f3sito de limitar a exposi\u00e7\u00e3o ao risco a n\u00edveis aceit\u00e1veis e garantir a disponibilidade, a integridade, a confidencialidade e a autenticidade (DICA) das informa\u00e7\u00f5es que suportam os objetivos estrat\u00e9gicos da Institui\u00e7\u00e3o.<\/p>\r\n<br>\r\n<p><b><div align=\"center\">CAP\u00cdTULO II<\/b><\/div><\/p>\r\n<p><b><div align=\"center\">DA REFER\u00caNCIA NORMATIVA<\/b><\/div><\/p>\r\n<br>\r\n<p>Art. 2\u00ba S\u00e3o refer\u00eancias normativas b\u00e1sicas para elabora\u00e7\u00e3o desta pol\u00edtica:<\/p>\r\n<p>I - <a href=\"https:\/\/www.abntcatalogo.com.br\/norma.aspx?ID=60452\" target=\"_blank\"><font color=\"blue\"><u>Associa\u00e7\u00e3o Brasileira de Normas T\u00e9cnicas. ABNT NBR ISO\/IEC 17799:2005 (27002)<\/u><\/font><\/a>. Tecnologia da informa\u00e7\u00e3o \u2014 T\u00e9cnicas de seguran\u00e7a \u2014 C\u00f3digo de pr\u00e1tica para a gest\u00e3o da seguran\u00e7a da informa\u00e7\u00e3o;<\/p>\r\n<p>II - <a href=\"http:\/\/www.planalto.gov.br\/ccivil_03\/constituicao\/constituicao.htm\" target=\"_blank\"><font color=\"blue\"><u>Constitui\u00e7\u00e3o da Rep\u00fablica Federativa do Brasil, de 1988<\/u><\/font><\/a>;<\/p>\r\n<p>III - <a href=\"http:\/\/www.planalto.gov.br\/ccivil_03\/decreto\/d1171.htm\" target=\"_blank\"><font color=\"blue\"><u>Decreto n. 1.171, de 22 de junho de 1994<\/u><\/font><\/a>, que disp\u00f5e sobre o C\u00f3digo de \u00c9tica Profissional do Servidor P\u00fablico Civil, do Poder Executivo Federal;<\/p>\r\n<p>IV - <a href=\"http:\/\/www.planalto.gov.br\/ccivil_03\/decreto\/D3505.htm\" target=\"_blank\"><font color=\"blue\"><u>Decreto n. 3505, de 13 de junho de 2000<\/u><\/font><\/a>, que institui a Pol\u00edtica de Seguran\u00e7a da Informa\u00e7\u00e3o nos \u00f3rg\u00e3os e entidades da Administra\u00e7\u00e3o P\u00fablica Federal;<\/p>\r\n<p>V - <a href=\"http:\/\/www.planalto.gov.br\/ccivil_03\/decreto\/2002\/d4553.htm\" target=\"_blank\"><font color=\"blue\"><u>Decreto n. 4.553, de 27 de dezembro de 2002<\/u><\/font><\/a>, que disp\u00f5e sobre a salvaguarda de dados, informa\u00e7\u00f5es, documentos e materiais sigilosos de interesse da seguran\u00e7a da sociedade e do Estado, no \u00e2mbito da Administra\u00e7\u00e3o P\u00fablica Federal;<\/p>\r\n<p>VI - <a href=\"http:\/\/dsic.planalto.gov.br\/legislacao\/in_01_gsidsic.pdf\" target=\"_blank\"><font color=\"blue\"><u>Instru\u00e7\u00e3o Normativa GSI n. 01, de 13 de junho de 2008<\/u><\/font><\/a>, que disciplina a Gest\u00e3o de Seguran\u00e7a da Informa\u00e7\u00e3o e Comunica\u00e7\u00f5es, na Administra\u00e7\u00e3o P\u00fablica Federal, direta e indireta e demais normas complementares; e<\/p>\r\n<p>VII - <a href=\"http:\/\/www.planalto.gov.br\/ccivil_03\/leis\/l8112cons.htm\" target=\"_blank\"><font color=\"blue\"><u>Lei n. 8.112, de 11 de dezembro de 1990<\/u><\/font><\/a>, que disp\u00f5e sobre o regime jur\u00eddico dos servidores p\u00fablicos civis da Uni\u00e3o, das autarquias e das funda\u00e7\u00f5es p\u00fablicas federais.<\/p>\r\n<br>\r\n<p><b><div align=\"center\">CAP\u00cdTULO III<\/b><\/div><\/p>\r\n<p><b><div align=\"center\">DA ABRANG\u00caNCIA<\/b><\/div><\/p>\r\n<br>\r\n<p>Art. 3\u00ba A Pol\u00edtica de Seguran\u00e7a da Informa\u00e7\u00e3o e Comunica\u00e7\u00f5es \u2014 PoSIC e suas normas complementares aplicam-se a todas as unidades e subunidades da UFSM, bem como aos docentes, discentes, t\u00e9cnico-administrativos em educa\u00e7\u00e3o, colaboradores terceirizados, estagi\u00e1rios e a quem de alguma forma tenha acesso aos ativos de informa\u00e7\u00e3o da Institui\u00e7\u00e3o.<\/p>\r\n<br>\r\n<p><b><div align=\"center\">CAP\u00cdTULO IV<\/b><\/div><\/p>\r\n<p><b><div align=\"center\">DOS PRINC\u00cdPIOS<\/b><\/div><\/p>\r\n<br>\r\n<p>Art. 4\u00ba O conjunto de documentos que comp\u00f5e esta PoSIC dever\u00e1 ser orientado pelos seguintes princ\u00edpios:<\/p>\r\n<p>I - Menor privil\u00e9gio: Usu\u00e1rios e sistemas devem ter a menor autoridade e o m\u00ednimo acesso aos recursos necess\u00e1rios para realizar uma determinada tarefa;<\/p>\r\n<p>II - Segrega\u00e7\u00e3o de fun\u00e7\u00e3o: Fun\u00e7\u00f5es de planejamento, execu\u00e7\u00e3o e controle devem ser segregadas de forma a reduzir as oportunidades de modifica\u00e7\u00e3o, o uso indevido, e a n\u00e3o autoriza\u00e7\u00e3o ou n\u00e3o intencionalidade dos ativos;<\/p>\r\n<p>III - Auditabilidade: Todos os eventos significantes de sistemas e processos devem ser rastre\u00e1veis at\u00e9 o evento inicial;<\/p>\r\n<p>IV - M\u00ednima depend\u00eancia de segredos: Os controles dever\u00e3o ser efetivos ainda que a amea\u00e7a saiba de suas exist\u00eancias e como eles funcionam;<\/p>\r\n<p>V - Controles autom\u00e1ticos: Sempre que poss\u00edvel, controles de seguran\u00e7a autom\u00e1ticos dever\u00e3o ser utilizados, especialmente os controles que dependem da vigil\u00e2ncia humana e do comportamento humano;<\/p>\r\n<p>VI - Resili\u00eancia: Os sistemas e processos devem ser projetados para que possam resistir ou realizar a recupera\u00e7\u00e3o dos efeitos de um desastre;<\/p>\r\n<p>VII - Defesa em profundidade: Os controles devem ser desenhados em camadas de tal forma que quando uma camada de controle falhar, exista um tipo diferente de controle em outra camada para prevenir a brecha de seguran\u00e7a;<\/p>\r\n<p>VIII - Exce\u00e7\u00e3o aprovada: Exce\u00e7\u00f5es \u00e0 PoSIC dever\u00e3o sempre ter aprova\u00e7\u00e3o superior; <\/p>\r\n<p>IX - Substitui\u00e7\u00e3o da seguran\u00e7a em situa\u00e7\u00f5es de emerg\u00eancia: Os controles somente devem ser desconsiderados de formas predeterminadas e seguras, sendo que deve sempre existir procedimentos e controles alternativos para minimizar o n\u00edvel de risco em situa\u00e7\u00f5es de emerg\u00eancia; e<\/p>\r\n<p>X - Esta PoSIC dever\u00e1 estar, tamb\u00e9m, em conformidade com os princ\u00edpios constitucionais e administrativos que regem a Administra\u00e7\u00e3o P\u00fablica Federal, bem como aos demais dispositivos legais aplic\u00e1veis.<\/p>\r\n<br>\r\n<p><b><div align=\"center\">CAP\u00cdTULO V<\/b><\/div><\/p>\r\n<p><b><div align=\"center\">DAS DIRETRIZES GERAIS<\/b><\/div><\/p>\r\n<br>\r\n<p>Art. 5\u00ba As diretrizes de SIC devem considerar, prioritariamente, os requisitos legais, os objetivos estrat\u00e9gicos, e a estrutura \u00e9 finalidade da UFSM.<\/p>\r\n<p>Art. 6\u00ba Os custos associados \u00e0 Gest\u00e3o da SIC dever\u00e3o ser compat\u00edveis com os custos dos ativos que se deseja proteger.<\/p>\r\n<p>Art. 7\u00ba A Gest\u00e3o de SIC deve suportar a tomada de decis\u00f5es, bem como realizar a gest\u00e3o de conhecimento e de recursos por meio da utiliza\u00e7\u00e3o eficiente e eficaz dos ativos, possibilitando alcan\u00e7ar os objetivos estrat\u00e9gicos da UFSM, assim como, otimizar seus investimentos.<\/p>\r\n<p>Art. 8\u00ba As normas e procedimento de SIC da UFSM devem considerar, subsidiariamente, normas e padr\u00f5es aceitos no mercado como refer\u00eancia nos processos de gest\u00e3o e governan\u00e7a de SIC.<\/p>\r\n<p>Art. 9\u00ba S\u00e3o normas e padr\u00f5es relacionados \u00e0 gest\u00e3o de ativos:<\/p>\r\n<p>I - Os ativos de informa\u00e7\u00e3o da Institui\u00e7\u00e3o s\u00e3o elementos fundamentais para a consecu\u00e7\u00e3o dos objetivos estrat\u00e9gicos, portanto a\u00e7\u00f5es de seguran\u00e7a espec\u00edficas dever\u00e3o garantir a prote\u00e7\u00e3o adequada dos mesmos, sendo que os n\u00edveis de prote\u00e7\u00e3o dever\u00e3o variar de acordo com a criticidade do ativo para a Institui\u00e7\u00e3o;<\/p>\r\n<p>II - Os ativos de informa\u00e7\u00e3o devem ter controles de seguran\u00e7a implementados independentemente do meio em que se encontram \u20ac dever\u00e3o ser protegidos contra divulga\u00e7\u00e3o n\u00e3o autorizada, modifica\u00e7\u00f5es, remo\u00e7\u00e3o ou destrui\u00e7\u00e3o, de forma a evitar incidentes de seguran\u00e7a que possam danificar a imagem da institui\u00e7\u00e3o e interromper suas opera\u00e7\u00f5es;<\/p>\r\n<p>III - As pessoas, que, de alguma maneira tenham acesso aos ativos de informa\u00e7\u00e3o da institui\u00e7\u00e3o, devem ser periodicamente conscientizadas, capacitadas e sensibilizadas em assuntos de seguran\u00e7a e de tratamento da informa\u00e7\u00e3o, de forma a garantir o entendimento e a pr\u00e1tica efetiva da SIC; e<\/p>\r\n<p>IV - Os processos e atividades que sustentam os servi\u00e7os cr\u00edticos disponibilizados pela UFSM devem ser protegidos de forma a garantir a disponibilidade, a integridade, a confidencialidade e a autenticidade (DICA) das informa\u00e7\u00f5es.<\/p>\r\n\r\n<p>Art. 10. A gest\u00e3o de riscos tem como objetivo reduzir as vulnerabilidades, evitar as amea\u00e7as, minimizar a exposi\u00e7\u00e3o aos riscos e atenuar os impactos associados aos ativos da organiza\u00e7\u00e3o, sendo que dever\u00e1 ser estabelecido processo que possibilite a identifica\u00e7\u00e3o, a quantifica\u00e7\u00e3o, a prioriza\u00e7\u00e3o, o tratamento, a comunica\u00e7\u00e3o e a monitora\u00e7\u00e3o peri\u00f3dica dos riscos.<\/p>\r\n<p>Art. 11. S\u00e3o normas e padr\u00f5es relacionados \u00e0 gest\u00e3o de opera\u00e7\u00f5es \u00e9 comunica\u00e7\u00f5es:<\/p>\r\n<p>I - Dada a import\u00e2ncia estrat\u00e9gica que os recursos de processamento da informa\u00e7\u00e3o t\u00eam para a consecu\u00e7\u00e3o dos objetivos da UFSM, a\u00e7\u00f5es de seguran\u00e7a dever\u00e3o garantir a opera\u00e7\u00e3o segura e correta desses recursos;<\/p>\r\n<p>II - As interfaces com terceiros s\u00e3o importantes canais de informa\u00e7\u00e3o que, sem um n\u00edvel de seguran\u00e7a adequado, poder\u00e3o levar a Institui\u00e7\u00e3o a uma elevada exposi\u00e7\u00e3o a riscos tendo como objetivo de reduzir os riscos associados, o gerenciamento dos servi\u00e7os terceirizados dever\u00e1 manter os n\u00edveis apropriados de seguran\u00e7a da informa\u00e7\u00e3o e da entrega dos servi\u00e7os;<\/p>\r\n<p>III - As trocas de informa\u00e7\u00f5es, tanto internamente, quanto externamente, dever\u00e3o ser reguladas de forma a manter o n\u00edvel adequado da seguran\u00e7a; e<\/p>\r\n<p>IV - As opera\u00e7\u00f5es dever\u00e3o ser adequadamente monitoradas visando detectar o mais breve poss\u00edvel atividades n\u00e3o autorizadas.<\/p>\r\n\r\n<p>Art. 12. S\u00e3o normas e padr\u00f5es relacionados ao controle de acessos:<\/p>\r\n<p>I - Com o objetivo de evitar a quebra de seguran\u00e7a, devem ser institu\u00eddas normas ou procedimentos que garantam o controle de acesso \u00e0s informa\u00e7\u00f5es e instala\u00e7\u00f5es;<\/p>\r\n<p>II - A concord\u00e2ncia expressa e por escrito aos preceitos desta PoSIC \u00e9 condi\u00e7\u00e3o necess\u00e1ria para o acesso aos ativos de informa\u00e7\u00e3o da UFSM; e<\/p>\r\n<p>III - Devem ser institu\u00eddas normas e procedimentos que garantam a seguran\u00e7a da informa\u00e7\u00e3o em ambientes de computa\u00e7\u00e3o m\u00f3vel e de trabalho remoto, considerando que ambientes de computa\u00e7\u00e3o m\u00f3vel e de trabalho remoto s\u00e3o necess\u00e1rios para a consecu\u00e7\u00e3o das atividades da UFSM e que podem consistir em pontos fracos do sistema de gest\u00e3o de seguran\u00e7a.<\/p>\r\n\r\n<p>Art. 13. Com rela\u00e7\u00e3o \u00e0 gest\u00e3o de incidentes de seguran\u00e7a da informa\u00e7\u00e3o, os mesmos devem ser identificados, monitorados, comunicados e devidamente tratados, em tempo h\u00e1bil, de forma a garantir a continuidade das atividades e a n\u00e3o interven\u00e7\u00e3o no alcance dos objetivos estrat\u00e9gicos da UFSM.<\/p>\r\n<p>Art. 14. Com rela\u00e7\u00e3o \u00e0 gest\u00e3o de continuidade do neg\u00f3cio, ressalta-se que a interrup\u00e7\u00e3o das atividades da UFSM leva \u00e0 suspens\u00e3o de servi\u00e7os cr\u00edticos prestados ao cidad\u00e3o e poder\u00e1 resultar em grave dano \u00e0 imagem da organiza\u00e7\u00e3o, portanto, dever\u00e3o ser institu\u00eddas normas e procedimentos que estabele\u00e7am a Gest\u00e3o de Continuidade do Neg\u00f3cio para minimizar os impactos decorrentes de eventos que causem a indisponibilidade sobre os servi\u00e7os da UFSM, al\u00e9m de recuperar perdas de ativos de informa\u00e7\u00e3o a um n\u00edvel estabelecido, por interm\u00e9dio de a\u00e7\u00f5es de preven\u00e7\u00e3o, resposta e recupera\u00e7\u00e3o.<\/p>\r\n<br>\r\n<p><b><div align=\"center\">CAP\u00cdTULO VI<\/b><\/div><\/p>\r\n<p><b><div align=\"center\">DA CONFORMIDADE<\/b><\/div><\/p>\r\n<br>\r\n<p>Art. 15. O cumprimento desta pol\u00edtica de seguran\u00e7a dever\u00e1 ser avaliado periodicamente por meio de verifica\u00e7\u00f5es de conformidade realizadas pela Administra\u00e7\u00e3o Superior, que poder\u00e1 solicitar o apoio de entidades externas e independentes.<\/p>\r\n<p>Art. 16. Os controles de SIC devem ser analisados criticamente e verificados em per\u00edodos regulares, tendo por base as conformidades com pol\u00edticas, padr\u00f5es, normas, ferramentas, manuais de procedimentos e outros documentos pertinentes.<\/p>\r\n<p>Art. 17. De forma a obter o absoluto cumprimento destes instrumentos legais e normativos, devem ser institu\u00eddos processos de an\u00e1lise e tratamento de conformidade, visando garantir o atendimento das leis, regulamentos e normas que regem as atividades no \u00e2mbito da Administra\u00e7\u00e3o P\u00fablica Federal.<\/p>\r\n<br>\r\n<p><b><div align=\"center\">CAP\u00cdTULO VII<\/b><\/div><\/p>\r\n<p><b><div align=\"center\">DAS RESPONSABILIDADES<\/b><\/div><\/p>\r\n<br>\r\n<p>Art. 18. \u00c9 de responsabilidade da Administra\u00e7\u00e3o Superior desta Institui\u00e7\u00e3o prover a orienta\u00e7\u00e3o e o apoio necess\u00e1rios \u00e0s a\u00e7\u00f5es de SIC, de acordo com os objetivos estrat\u00e9gicos e com as leis e regulamentos pertinentes.<\/p>\r\n<p>Art. 19. \u00c9 de responsabilidade dos demais gestores zelar pelo cumprimento das diretrizes desta pol\u00edtica no \u00e2mbito de suas \u00e1reas de atua\u00e7\u00e3o.<\/p>\r\n<p>Art. 20. \u00c9 de responsabilidade de todos que t\u00eam acesso aos ativos de informa\u00e7\u00e3o da UFSM manter n\u00edveis de seguran\u00e7a da informa\u00e7\u00e3o adequados, segundo preceitos desta pol\u00edtica e de suas normas complementares.<\/p>\r\n<p>Art. 21. Dever\u00e1 ser institu\u00eddo, por portaria espec\u00edfica, o Comit\u00ea Gestor de Seguran\u00e7a da Informa\u00e7\u00e3o e Comunica\u00e7\u00f5es (CGSIC) da UFSM.<\/p>\r\n<p>Art. 22. Os membros do Comit\u00ea dever\u00e3o receber regularmente capacita\u00e7\u00e3o especializada em seguran\u00e7a da informa\u00e7\u00e3o e comunica\u00e7\u00f5es.<\/p>\r\n<p>Art. 23. S\u00e3o atribui\u00e7\u00f5es e forma de funcionamento do Comit\u00ea Gestor de Seguran\u00e7a da Informa\u00e7\u00e3o e Comunica\u00e7\u00f5es:<\/p>\r\n<p>I - assessorar na implementa\u00e7\u00e3o das a\u00e7\u00f5es de SIC;<\/p>\r\n<p>II - promover a cultura de seguran\u00e7a da informa\u00e7\u00e3o e comunica\u00e7\u00f5es;<\/p>\r\n<p>III - constituir grupos de trabalho para tratar de temas e propor solu\u00e7\u00f5es espec\u00edficas sobre a SIC;<\/p>\r\n<p>IV - propor altera\u00e7\u00f5es na PoSIC;<\/p>\r\n<p>V - elaborar instru\u00e7\u00f5es normativas complementares relativas \u00e0 SIC;<\/p>\r\n<p>VI - dirimir eventuais d\u00favidas sobre assuntos relativos \u00e0 PoSIC; <\/p>\r\n<p>VII - acompanhar as investiga\u00e7\u00f5es e as avalia\u00e7\u00f5es dos danos decorrentes de quebras de seguran\u00e7a;<\/p>\r\n<p>VIII - propor \u00e0 Administra\u00e7\u00e3o Superior investimentos em a\u00e7\u00f5es de seguran\u00e7a da informa\u00e7\u00e3o e comunica\u00e7\u00f5es;<\/p>\r\n<p>IX - realizar e acompanhar estudos e novas tecnologias, quanto a poss\u00edveis impactos na seguran\u00e7a da informa\u00e7\u00e3o e comunica\u00e7\u00f5es; e<\/p>\r\n<p>X - regular os processos de gest\u00e3o relacionados a SIC.<\/p>\r\n\r\n<p>Art. 24. Os n\u00edveis adequados de seguran\u00e7a dos ativos de informa\u00e7\u00e3o dever\u00e3o ser garantidos pelos seus usu\u00e1rios diretamente respons\u00e1veis.<\/p>\r\n<br>\r\n<p><b><div align=\"center\">CAP\u00cdTULO VIII<\/b><\/div><\/p>\r\n<p><b><div align=\"center\">DAS PENALIDADES<\/b><\/div><\/p>\r\n<br>\r\n<p>Art. 25. A\u00e7\u00f5es que violem a PoSIC ou que quebrem os controles de seguran\u00e7a da informa\u00e7\u00e3o e comunica\u00e7\u00f5es ser\u00e3o pass\u00edveis de sans\u00f5es civis, penais e administrativas, conforme a legisla\u00e7\u00e3o em vigor, que podem ser aplicadas isoladamente ou cumulativamente.<\/p>\r\n<p>Art. 26. Para apurar as a\u00e7\u00f5es que constituem em quebra das diretrizes impostas por esta PoSIC, dever\u00e1 ser elaborado um processo disciplinar espec\u00edfico.<\/p>\r\n<br>\r\n<p><b><div align=\"center\">CAP\u00cdTULO IX<\/b><\/div><\/p>\r\n<p><b><div align=\"center\">DA ATUALIZA\u00c7\u00c3O<\/b><\/div><\/p>\r\n<br>\r\n<p>Art. 27. Esta PoSIC, bem como os documentos gerados a partir dela, dever\u00e3o ser revisados e atualizados sempre que houver altera\u00e7\u00f5es na legisla\u00e7\u00e3o espec\u00edfica.<\/p>\r\n<br>\r\n<p><b><div align=\"center\">CAP\u00cdTULO X<\/b><\/div><\/p>\r\n<p><b><div align=\"center\">DA VIG\u00caNCIA<\/b><\/div><\/p>\r\n<br>\r\n<p>Art. 28. Esta Pol\u00edtica entra em vigor na data de sua publica\u00e7\u00e3o.<\/p>\r\n<br>\r\n<p><b><div align=\"center\">CAP\u00cdTULO XI<\/b><\/div><\/p>\r\n<p><b><div align=\"center\">DAS DISPOSI\u00c7\u00d5ES GERAIS<\/b><\/div><\/p>\r\n<br>\r\n<p>Art. 29. Esta PoSIC, bem como as normas e procedimentos de SIC associados, dever\u00e3o ter ampla divulga\u00e7\u00e3o, de forma a garantir que todos entendam suas responsabilidades e ajam de acordo com os preceitos desta Pol\u00edtica.<\/p>\r\n<br>\r\n<p><b><div align=\"center\">ANEXO I<\/b><\/div><\/p>\r\n<p><b><div align=\"center\">DOS CONCEITOS E DEFINI\u00c7\u00d5ES<\/b><\/div><\/p>\r\n<br>\r\n<p>S\u00e3o conceitos e defini\u00e7\u00f5es utilizados na elabora\u00e7\u00e3o desta pol\u00edtica:<\/p>\r\n<p>I - Acesso: ato de ingressar, transitar, conhecer ou consultar a informa\u00e7\u00e3o, bem como a possibilidade de usar os ativos de informa\u00e7\u00e3o de um \u00f3rg\u00e3o ou entidade [NC07\/IN01\/DSIC\/GSIPR, 2010, p. 2];<\/p>\r\n<p>II - Amea\u00e7a: conjunto de fatores extemos ou causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organiza\u00e7\u00e3o;<\/p>\r\n<p>III - Ativo: tudo aquilo que possui valor para o \u00f3rg\u00e3o ou entidade da Administra\u00e7\u00e3o P\u00fablica Federal;<\/p>\r\n<p>IV - Ativos de Informa\u00e7\u00e3o: os meios de armazenamento, transmiss\u00e3o e processamento, os sistemas de informa\u00e7\u00e3o, bem como os locais onde se encontram esses meios e as pessoas que a eles t\u00eam acesso [NC04\/IN01\/DSIC\/GSIPR, 2009, p. 2];<\/p>\r\n<p>V - Autenticidade: propriedade de que a informa\u00e7\u00e3o foi produzida, expedida, modificada ou destru\u00edda por uma determinada pessoa f\u00edsica, ou por um determinado sistema, \u00f3rg\u00e3o ou entidade [IN01\/DSIC\/GSIPR, 2008, p. 2];<\/p>\r\n<p>VI - Capacita\u00e7\u00e3o em SIC: saber o que \u00e9 seguran\u00e7a da informa\u00e7\u00e3o e comunica\u00e7\u00f5es aplicando em sua rotina pessoal e profissional, servindo como multiplicador sobre o tema, aplicando os conceitos e procedimentos na Organiza\u00e7\u00e3o como gestor de SIC [DSIC\/GSIPR];<\/p>\r\n<p>VII - Capacita\u00e7\u00e3o: visa a aquisi\u00e7\u00e3o de conhecimentos, capacidades, atitudes e formas de comportamento exigidos para o exerc\u00edcio das fun\u00e7\u00f5es;<\/p>\r\n<p>VIII - Comit\u00ea Gestor de Seguran\u00e7a da Informa\u00e7\u00e3o e Comunica\u00e7\u00f5es: grupo de pessoas com a responsabilidade de assessorar e coordenar a implementa\u00e7\u00e3o das a\u00e7\u00f5es de seguran\u00e7a da informa\u00e7\u00e3o e comunica\u00e7\u00f5es [NC03\/IN01\/DSIC\/GSIPR];<\/p>\r\n<p>IX - Confidencialidade: propriedade de que a informa\u00e7\u00e3o n\u00e3o esteja dispon\u00edvel ou revelada a pessoa f\u00edsica, sistema, \u00f3rg\u00e3o ou entidade n\u00e3o autorizado e credenciado [IN01\/DSIC\/GSIPR, 2008, p. 2];<\/p>\r\n<p>X - Conscientiza\u00e7\u00e3o em SIC: saber o que \u00e9 seguran\u00e7a da informa\u00e7\u00e3o e comunica\u00e7\u00f5es aplicando em sua rotina pessoal e profissional, al\u00e9m de servir como multiplicador sobre o tema [DSIC\/GSIPR];<\/p>\r\n<p>XI - Continuidade de Neg\u00f3cios: capacidade estrat\u00e9gica e t\u00e1tica de um \u00f3rg\u00e3o ou entidade de se planejar e responder a incidentes e interrup\u00e7\u00f5es de neg\u00f3cios, minimizando seus impactos e recuperando perdas de ativos da informa\u00e7\u00e3o das atividades cr\u00edticas, de forma a manter suas opera\u00e7\u00f5es em um n\u00edvel aceit\u00e1vel, previamente definido [NC06\/IN01\/DSIC\/GSIPR, 2009, p.3];<\/p>\r\n<p>XII - Controle de Acesso: conjunto de procedimentos, recursos e meios utilizados com a finalidade de conceder ou bloquear o acesso [NC07\/DSIC\/GSIPR, 2010, p. 3];<\/p>\r\n<p>XIII - Disponibilidade: propriedade de que a informa\u00e7\u00e3o esteja acess\u00edvel e utiliz\u00e1vel sob demanda por uma pessoa f\u00edsica ou determinado sistema, \u00f3rg\u00e3o ou entidade [IN01\/DSIC\/GSIPR, 2008,p. 2];<\/p>\r\n<p>XIV - Evento: ocorr\u00eancia identificada de um sistema, servi\u00e7o ou rede, que indica uma poss\u00edvel viola\u00e7\u00e3o da pol\u00edtica de seguran\u00e7a da informa\u00e7\u00e3o ou falha de controles, ou uma situa\u00e7\u00e3o previamente desconhecida, que possa ser relevante para a seguran\u00e7a da informa\u00e7\u00e3o. [ISO\/IEC TR 18044:2004];<\/p>\r\n<p>XV - Gest\u00e3o de Riscos de Seguran\u00e7a da Informa\u00e7\u00e3o e Comunica\u00e7\u00f5es: conjunto de processos que permite identificar e implementar as medidas de prote\u00e7\u00e3o necess\u00e1rias para minimizar ou eliminar os riscos a que est\u00e3o sujeitos os seus ativos de informa\u00e7\u00e3o, e equilibr\u00e1los com os custos operacionais e financeiros envolvidos [NC04\/IN01\/DSIC\/GSIPR, 2009,p.2];<\/p>\r\n<p>XVI - Gest\u00e3o de Seguran\u00e7a da Informa\u00e7\u00e3o e Comunica\u00e7\u00f5es: a\u00e7\u00f5es e m\u00e9todos que visam \u00e0 integra\u00e7\u00e3o das atividades de gest\u00e3o de riscos, gest\u00e3o de continuidade do neg\u00f3cio, tratamento de incidentes, tratamento da informa\u00e7\u00e3o, conformidade, credenciamento, seguran\u00e7a cibern\u00e9tica, seguran\u00e7a f\u00edsica, seguran\u00e7a l\u00f3gica, seguran\u00e7a org\u00e2nica e seguran\u00e7a organizacional aos processos institucionais estrat\u00e9gicos, operacionais e t\u00e1ticos, n\u00e3o se limitando, portanto, \u00e0 tecnologia da informa\u00e7\u00e3o e comunica\u00e7\u00f5es [IN01\/DSIC\/GSIPR, 2008, p.2];<\/p>\r\n<p>XVII - Gestor de Seguran\u00e7a da Informa\u00e7\u00e3o e Comunica\u00e7\u00f5es: \u00e9 respons\u00e1vel pelas a\u00e7\u00f5es de seguran\u00e7a da informa\u00e7\u00e3o e comunica\u00e7\u00f5es no \u00e2mbito do \u00f3rg\u00e3o ou entidade da APF [IN01\/DSIC\/GSIPR, 2008, p. 2];<\/p>\r\n<p>XVIII - Incidente de seguran\u00e7a: \u00e9 qualquer evento adverso, confirmado ou sob suspeita, relacionado \u00e0 seguran\u00e7a dos sistemas de computa\u00e7\u00e3o ou das redes de computadores [NC05\/IN01\/DSIC\/GSIPR, 2009, p. 3];<\/p>\r\n<p>XIX - Integridade: propriedade de que a informa\u00e7\u00e3o n\u00e3o foi modificada ou destru\u00edda de maneira n\u00e3o autorizada ou acidental [IN01\/DSIC\/GSIPR, 2008, p. 2];<\/p>\r\n<p>XX - N\u00edvel de Seguran\u00e7a Adequado: ser\u00e1 estabelecidos em documentos complementares a esta PoSIC;<\/p>\r\n<p>XXI - Pol\u00edtica de Seguran\u00e7a da Informa\u00e7\u00e3o e Comunica\u00e7\u00f5es (PoSIC): documento aprovado pela autoridade respons\u00e1vel do \u00f3rg\u00e3o ou entidade da Administra\u00e7\u00e3o P\u00fablica Federal \u2014 APF, com o objetivo de fomecer diretrizes, crit\u00e9rios e suporte administrativo suficientes \u00e0 implementa\u00e7\u00e3o da seguran\u00e7a da informa\u00e7\u00e3o e comunica\u00e7\u00f5es [NC03\/IN01\/DSIC\/GSIPR, 2009, p.2];<\/p>\r\n<p>XXII - Terceiro: pessoa, n\u00e3o integrante do \u00f3rg\u00e3o ou entidade da APF, envolvida com o desenvolvimento de atividades, de car\u00e1ter tempor\u00e1rio ou eventual, exclusivamente para o interesse do servi\u00e7o, que poder\u00e3o receber credencial especial de acesso [NC07\/DSIC\/GSIPR, 2010, p. 3];<\/p>\r\n<p>XXIII - Propriet\u00e1rio da Informa\u00e7\u00e3o: pessoa ou setor que produz a informa\u00e7\u00e3o;<\/p>\r\n<p>XXIV - Quebra de Seguran\u00e7a: a\u00e7\u00e3o ou omiss\u00e3o, intencional ou acidental, que resulta no comprometimento da seguran\u00e7a da informa\u00e7\u00e3o e das comunica\u00e7\u00f5es [N01\/DSIC\/GSIPR,2008, p. 2];<\/p>\r\n<p>XXV - Riscos de Seguran\u00e7a da Informa\u00e7\u00e3o e Comunica\u00e7\u00f5es: potencial associado \u00e0 explora\u00e7\u00e3o de uma ou mais vulnerabilidades de um ativo de informa\u00e7\u00e3o ou de um conjunto de tais ativos, por parte de uma ou mais amea\u00e7as, com impacto negativo no neg\u00f3cio da organiza\u00e7\u00e3o [NC04\/IN01\/DSIC\/GSIPR, 2009, p.3]:<\/p>\r\n<p>XXVI - Seguran\u00e7a da Informa\u00e7\u00e3o e Comunica\u00e7\u00f5es: a\u00e7\u00f5es que objetivam viabilizar e assegurar \u00e0 disponibilidade, a integridade, a confidencialidade e a autenticidade das informa\u00e7\u00f5es [IN01\/DSIC\/GSIPR, 2008, p. 2];<\/p>\r\n<p>XXVII - Seguran\u00e7a de Opera\u00e7\u00f5es e Comunica\u00e7\u00f5es: respons\u00e1vel pela manuten\u00e7\u00e3o do funcionamento de servi\u00e7os, sistemas e da infraestrutura que os suporta;<\/p>\r\n<p>XXVII - Usu\u00e1rio: servidores, terceirizados, colaboradores, consultores, auditores e estagi\u00e1rios que obtiveram autoriza\u00e7\u00e3o do respons\u00e1vel pela \u00e1rea interessada para acesso aos ativos de informa\u00e7\u00e3o de um \u00f3rg\u00e3o ou entidade da APF, formalizada por meio da assinatura do Termo de Responsabilidade [NCO7\/DSIC\/GSIPR, 2010, p. 3]; e<\/p>\r\n<p>XXIX - Vulnerabilidade: conjunto de fatores internos ou causa potencial de um incidente indesejado, que podem resultar em risco para um sistema ou organiza\u00e7\u00e3o, os quais podem ser evitados por uma a\u00e7\u00e3o interna de seguran\u00e7a da informa\u00e7\u00e3o NC04\/1N01\/DSIC\/GSIPR, 2009, p.3].<\/s><\/p>\r\n<br>\r\n<\/div>\r\n<p><font color=\"red0000\">Este texto n\u00e3o substitui o documento original, publicado no Portal de Documentos.<\/font> Dispon\u00edvel em: <a href=\"https:\/\/portal.ufsm.br\/documentos\/publico\/documento.html?id=12839577\"><font color=\"blue\">https:\/\/portal.ufsm.br\/documentos\/publico\/documento.html?id=12839577<\/font><\/a>\r\n\r\n\r\n\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<\/div>\n\t\t","protected":false},"excerpt":{"rendered":"<p>REGULAMENTO DA POL\u00cdTICA DE SEGURAN\u00c7A DA INFORMA\u00c7\u00c3O E COMUNICA\u00c7\u00d5ES – PoSIC MINIST\u00c9RIO DA EDUCA\u00c7\u00c3O UNIVERSIDADE FEDERAL DE SANTA MARIA REGULAMENTO DA POL\u00cdTICA DE SEGURAN\u00c7A DA INFORMA\u00c7\u00c3O E COMUNICA\u00c7\u00d5ES – PoSIC (Revogado pela Resolu\u00e7\u00e3o UFSM N. 121\/2023) CAP\u00cdTULO I DO OBJETIVO Art. 1\u00ba A Pol\u00edtica de Seguran\u00e7a da Informa\u00e7\u00e3o e Comunica\u00e7\u00f5es \u2014 PoSIC tem por objetivo […]<\/p>\n","protected":false},"author":205,"featured_media":0,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"footnotes":""},"categories":[],"tags":[],"class_list":["post-2810","page","type-page","status-publish","hentry"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.ufsm.br\/pro-reitorias\/proplan\/wp-json\/wp\/v2\/pages\/2810","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ufsm.br\/pro-reitorias\/proplan\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/www.ufsm.br\/pro-reitorias\/proplan\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/www.ufsm.br\/pro-reitorias\/proplan\/wp-json\/wp\/v2\/users\/205"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ufsm.br\/pro-reitorias\/proplan\/wp-json\/wp\/v2\/comments?post=2810"}],"version-history":[{"count":0,"href":"https:\/\/www.ufsm.br\/pro-reitorias\/proplan\/wp-json\/wp\/v2\/pages\/2810\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.ufsm.br\/pro-reitorias\/proplan\/wp-json\/wp\/v2\/media?parent=2810"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ufsm.br\/pro-reitorias\/proplan\/wp-json\/wp\/v2\/categories?post=2810"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ufsm.br\/pro-reitorias\/proplan\/wp-json\/wp\/v2\/tags?post=2810"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}