Todas edições
Visualize e busque todas as edições.
Veja
Essa publicação está na edição do(s) dia(s):
26 de Novembro de 2024.
DECRETO Nº 169/2024
DECRETO Nº 169/2024
Que regulamenta a Política de Segurança da Informação no âmbito da Secretaria Municipal de Educação e Cultura e unidades da rede municipal de ensino.
MARIA AZENILDA PEREIRA, Prefeita Municipal de Barra de Barra do Bugres, Estado de Mato Grosso, no uso das atribuições legais que lhe são conferidas por Lei,
D/E/C/R/E/T/A:
Art. 1° - Institui-se a Política de Segurança da Informação - PSI da Secretaria Municipal de Educação e Cultura - SMEC do Município de Barra do Bugres, visando a proteção de dados e Informações de sua propriedade e/ou sob sua tutela.
Art. 2º - Esta PSI aplica-se a todas as unidades organizacionais da SMEC, e deverá ser observada por todos os Usuários de Informação, toda e qualquer pessoa que exerça atribuição pública, ocupante de função, estagiário, cargo ou emprego público, prestadores de serviços ou pessoa habilitada pela administração, por meio da assinatura de Termo de Responsabilidade, para acessar os ativos de informação.
CAPÍTULO I
Disposições Gerais
Art. 3º - São objetivos da PSI:
I. estabelecer princípios e diretrizes visando a proteção dos ativos de informação e a retenção dos conhecimentos, produzidos ou recebidos, no âmbito da Secretaria; II. estabelecer orientações gerais de segurança da informação e contribuir para a gestão dos riscos, preservando os princípios da disponibilidade, integridade, confidencialidade, autenticidade e não repúdio das informações; III. estabelecer competências e responsabilidades quanto à segurança da informação; IV. nortear a elaboração das normas necessárias à efetiva implementação da segurança da informação; V. promover o alinhamento das ações de segurança da informação na SMEC com a legislação e regulamentos aplicáveis;CAPÍTULO II
Dos Princípios e Diretrizes
Art. 4º - As ações de segurança da informação da SMEC são conduzidas pelos princípios constitucionais e administrativos que norteiam a Administração Pública, bem como pelos seguintes princípios:
I. disponibilidade, integridade, confidencialidade, autenticidade e não repúdio das informações; II. continuidade dos processos e serviços essenciais para o funcionamento da SMEC; III. economicidade da proteção dos ativos de informação; IV. respeito ao acesso à informação, à proteção de dados pessoais e à proteção da privacidade; V. observância da publicidade como preceito geral e do sigilo como exceção; VI. responsabilidade do usuário de informação pelos atos que comprometam a segurança dos ativos de informação; VII. conformidade das normas e das ações de segurança da informação com a legislação e regulamentos aplicáveis; VIII. educação e comunicação como alicerces fundamentais para o fomento da cultura de segurança da informação.Art. 5º - Estas diretrizes constituem os pilares da gestão de segurança da informação norteando a elaboração de políticas, planos e normas complementares no âmbito desta SMEC e objetivam a garantia dos princípios básicos de segurança da informação estabelecidos nesta Política.
Art. 6º - As normas, procedimentos, manuais e metodologias de segurança da informação da SMEC devem considerar, como referência, além dos normativos vigentes, as melhores práticas de segurança da informação.
Art. 7º - As ações de segurança da informação devem:
I. considerar, prioritariamente, os objetivos estratégicos, os planos institucionais, a estrutura e a finalidade da SMEC; II. ser tratadas de forma integrada, respeitando as especificidades e a autonomia das unidades da SMEC; III. ser adotadas proporcionalmente aos riscos existentes e à magnitude dos danos potenciais, considerados o ambiente, o valor e a criticidade da informação; IV. visar à prevenção da ocorrência de incidentes.Art. 8º - O investimento necessário em medidas de segurança da informação deve ser dimensionado conforme o valor do ativo a ser protegido e de acordo com o risco de potenciais prejuízos à SMEC.
Art. 9º - Toda e qualquer informação gerada, custodiada, manipulada, utilizada ou armazenada na SMEC compõe o seu rol de ativos de informação e deve ser protegida conforme normas em vigor.
§ 1º - As informações citadas no caput, que tramitem pelo ambiente computacional da SMEC são passíveis de monitoramento e auditoria pela própria SMEC, respeitados os limites legais;
§ 2º - Todos os Usuários de Informação que o Art. 2º faz referência devem ter ciência de que suas ações no uso de suas atribuições podem ser monitoradas, e que os registros poderão ser utilizados para detecção de violações da Política e das Normas de Segurança da Informação e podendo servir como evidência em processos administrativos e/ou legais.
Art. 10 - Pessoas e sistemas devem ter o menor privilégio e o mínimo acesso aos recursos necessários para realizar uma dada tarefa.
Parágrafo único. É condição para acesso aos recursos de tecnologia da informação da SMEC a assinatura eletrônica, de Termo de Responsabilidade indicando a ciência aos termos desta Política, as responsabilidades e os compromissos em decorrência deste acesso, bem como as penalidades cabíveis pela inobservância das regras previstas nas normas de segurança da informação da SMEC.
Art. 11 - A PSI e suas atualizações, bem como normas específicas de segurança da informação da SMEC, devem ser divulgadas amplamente a todos os Usuários de Informação, a fim de promover sua observância, seu conhecimento, bem como a formação da cultura de segurança da informação.
§ 1º - Os Usuários de Informação devem ser continuamente capacitados nos procedimentos de segurança e no uso correto dos ativos de informação quando da realização de suas atribuições, de modo a minimizar possíveis riscos à segurança da informação.
§ 2º - As ações de capacitação previstas no § 1º devem ser conduzidas de modo a possibilitar o compartilhamento de materiais educacionais sobre segurança da informação.
CAPÍTULO III
Da Gestão de Segurança da Informação
Art. 12 - A estrutura de Gestão de Segurança da Informação é composta por:
I. Secretário Municipal de Educação e Cultura; II. Encarregado de Serviços de Tecnologia da Informação (TI); III. Setor de TI; IV. Técnico em Informática; V. Usuários de Informação.Art. 13 - Compete ao Secretário Municipal de Educação e Cultura:
I. fornecer os recursos necessários para assegurar o desenvolvimento e a implementação da Gestão de Segurança da Informação da SMEC, bem como com o tratamento das ações e decisões de segurança da informação; II. formalizar e aprovar a PSI bem como suas alterações e atualizações.Art. 14 - Compete ao Encarregado de Serviços de Tecnologia da Informação (TI) :
I. assessorar na implementação das ações de segurança da informação; II. propor soluções específicas sobre segurança da informação; III. participar da elaboração da PSI e das normas internas de segurança da informação; IV. propor alterações à PSI e às normas internas de segurança da informação; V. deliberar sobre normas internas de segurança da informação; VI. planejar, implementar e melhorar continuamente os controles de privacidade e segurança da informação em soluções de tecnologia da informação e comunicações;Art. 15 - Compete ao Setor de TI da SMEC:
I. facilitar, coordenar e executar as atividades de prevenção, tratamento e resposta a incidentes cibernéticos na SMEC; II. monitorar as redes computacionais; III. detectar e analisar ataques e intrusões; IV. tratar incidentes de segurança da informação; V. identificar vulnerabilidades e artefatos maliciosos; VI. recuperar sistemas de informação; VII. promover a cooperação com outras equipes, e participar de fóruns e redes relativas à segurança da informação.Art. 16 - Compete ao Técnico em Informática, além do disposto na Lei Complementar nº 055 de 11 de julho de 2013 (Plano de Cargos e Salários – Servidores dos Profissionais da Educação do Município):
I. notificar e informar aos usuários do sistema ou ao Encarregado de Serviços de TI, sobre qualquer falha ocorrida;
II. administrar cópias de segurança visando a recuperação de desastres;
III. realizar atualização periódica de firmware e de software de ativos para mitigar possíveis vulnerabilidades de segurança.
Art. 17 - Compete aos Usuários de Informação:
I. conhecer, cumprir e fazer cumprir esta Política e às demais normas específicas de segurança da informação da SMEC;
II. zelar pela segurança dos ativos de informação que estejam sob a sua responsabilidade;
III. Desligar os equipamentos eletrônicos da SMEC que opera, quando não estiverem em uso, na saída para o horário de descanso e final de expediente.
Art. 18 - A Política de Segurança da Informação e demais normativos decorrentes desta Política integram o arcabouço normativo da Gestão de Segurança da Informação.
Art. 19 - A Gestão da Segurança da Informação na SMEC deve ser constituída, no mínimo, pelos seguintes processos:
I. tratamento da informação; II. segurança física e do ambiente; III. gestão de incidentes em segurança da informação; IV. gestão de ativos; V. gestão do uso dos recursos operacionais e de comunicações, tais como e-mail, acesso à internet, mídias sociais e computação em nuvem; VI. controles de acesso; VII. gestão de riscos; VIII. gestão de continuidade; IX. auditoria e conformidade;Parágrafo único - O Encarregado de Serviços de TI poderá definir outros processos de Gestão de Segurança da Informação, desde que alinhados aos princípios e às diretrizes desta Política e destinados à implementação de ações de segurança da informação.
Art. 20 - As políticas, normas, procedimentos, orientações ou manuais de segurança da SMEC devem abordar:
I. a proteção dos dados contra acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito; II. ao uso aceitável da informação e a utilização de mídias de armazenamento; III. a entrada e saída de ativos de informação das instalações da organização; IV. aos perímetros de segurança da organização; V. aos controles de acesso baseados no princípio do menor privilégio; VI. as etapas de identificação, contenção, erradicação e recuperação e atividades pós incidente; VII. a utilização adequada dos recursos operacionais e de comunicações fornecidos pela SMEC, como computadores e impressoras, a serem utilizados para fins profissionais, relacionados às atividades da Educação, em conformidade com os princípios éticos e profissionais do Serviço Público, evitando comportamentos antiéticos, discriminatórios, ofensivos ou que possam comprometer a reputação do Município; VIII. aos procedimentos para o uso de e-mail, o envio de informações confidenciais, a instalação de software antivírus e a abertura de anexos de e-mail; IX. o acesso à internet, o download de arquivos da internet, vedado o uso de sites inadequados e a instalação de software não autorizado; X. o uso de mídias sociais, a divulgação de informações nas mídias sociais, o uso de contas pessoais para fins profissionais; XI. as políticas e procedimentos para o controle de acesso, tais como o uso de Múltiplo Fator de Autenticação (MFA), controles de autorização, baseados no princípio do menor privilégio, controles de segregação de funções, trilhas de auditoria, rastreamento, acompanhamento, controle e verificação de acessos para os ativos de informação, desligamento ou afastamento de colaboradores e parceiros que utilizam ou operam os ativos de informação da SMEC; XII. as políticas e procedimentos para Gestão de Continuidade de Negócios da organização, incluindo o Plano de Continuidade para garantir que a SMEC possa continuar suas atividades em caso de um incidente de segurança da informação; XIII. as políticas e procedimentos para a Gestão de Mudanças nos ativos de informação da SMEC; XIV. as políticas e procedimentos para utilização de Inteligência Artificial (IA);§ 1º - Todas as ações, realizadas pelas unidades da SMEC, que envolvem a segurança da informação devem estar em conformidade com as leis e regulamentos aplicáveis à esta temática.
§ 2º - As atividades, produtos e serviços desenvolvidos na SMEC devem estar em conformidade com requisitos de privacidade e proteção de dados pessoais constantes de leis, regulamentos, resoluções, normas, estatutos e contratos jurídicos vigentes.
CAPÍTULO IV
Das Vedações e Disposições Finais
Art. 21 - É vedada a utilização dos recursos de tecnologia da informação disponibilizados pela SMEC para acesso, guarda e divulgação de material incompatível com o ambiente do serviço, que viole direitos autorais ou que infrinja a legislação vigente.
Art. 22 - São vedados o uso e a instalação de recursos de tecnologia da informação que não tenham sido homologados ou adquiridos pela SMEC.
Art. 23 - É vedada a divulgação a terceiros de mecanismos de identificação, autenticação e autorização baseados em conta e senha ou certificação digital, de uso pessoal e intransferível, que são fornecidos aos usuários.
Art. 24 - É vedada a exploração de eventuais vulnerabilidades, as quais devem ser comunicadas ao Setor de TI assim que identificadas.
Art. 25 - É vedado o uso não autorizado de um ativo.
Art. 26 - É vedada aos Usuários de Informação a realização de atividades de responsabilidade do Técnico em Informática ou do Setor de TI.
Art. 27 - É vedada a utilização de ativos de forma remota, a partir de ambiente externo a SMEC e unidades organizacionais, pelos Usuários de Informação.
Art. 28 - A não observância do disposto nesta Política, bem como em seus instrumentos normativos correlatos, sujeita o infrator à aplicação de sanções administrativas conforme a legislação vigente, sem prejuízo das responsabilidades penal e civil, assegurados sempre aos envolvidos o contraditório e a ampla defesa.
Art. 29 - Esta Política será revisada periodicamente, pelo menos a cada quatro anos, para refletir as mudanças no ambiente da SMEC, nos riscos à segurança da informação e nas melhores práticas de segurança da informação.
Art. 30 - Os casos omissos e as dúvidas sobre a PSI devem ser submetidos ao Secretário Municipal de Educação, ouvido o Setor de TI da SMEC.
Art. 31º - Este decreto em vigor na data de sua publicação.
Gabinete da Prefeita, em 19 de novembro de 2024.
MARIA AZENILDA PEREIRA
Prefeita Municipal