Disciplina a Estrutura de Gestão de Segurança da Informação na Universidade Federal da Integração latino-Americana.
O VICE-REITOR DA UNIVERSIDADE FEDERAL DA INTEGRAÇÃO LATINO-AMERICANA NO EXERCÍCIO DA REITORIA, no uso de suas atribuições legais, considerando a Lei nº 12.965, de 23 de abril de 2014, que estabelece princípios, garantias e deveres para o uso da internet no Brasil (Marco Civil da Internet); a Lei nº 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais (LGPD); o Decreto nº 10.332, de 28 de abril de 2020, que aprova a Estratégia de Governo Digital; a Instrução Normativa PR/GSI nº 1, de 27 de maio de 2020, que dispõe sobre a Estrutura de Gestão da Segurança da Informação nos órgãos e nas entidades da administração pública federal; o Decreto nº 10.641, de 2 de março de 2021, que altera o Decreto nº 9.736/2018 e Decreto º 2.295; os princípios da Política Nacional de Segurança da Informação, definidos no Decreto nº 9.637, de 26 de dezembro de 2018; o Decreto nº 10.222, de 5 de fevereiro de 2020, que aprova a Estratégia Nacional de Segurança Cibernética; a Portaria PR/GSI nº 93, de 26 de setembro de 2019, que aprova o Glossário de Segurança da Informação; a Norma Complementar nº 5/IN01/DSIC/GSIPR, de 14 de agosto de 2009, que dispõe sobre a criação de Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos (Etir); a Resolução nº 28/2019/Consun, de 4 de novembro de 2019, que Institui a Política de Gestão de Riscos da Universidade Federal da Integração Latino?Americana; a Portaria nº 291/2018/GR/Unila, de 10 de maio 2018, que institui o Comitê Permanente de Governança, Integridade, Riscos e Controles; a Portaria nº 260/2021/GR, que Institui o Comitê de Governança Digital na Unila; também considerando a iniciativa de aperfeiçoar as políticas de segurança da informação e comunicação (Ini 3.2), identificada no Petic 2019-2021, e o que consta no processo nº 23422.005961/2021-06, resolve:
CAPÍTULO I
DAS DISPOSIÇÕES GERAIS
Art. 1º Estabelecer as atribuições e a estrutura de gestão de segurança da informação na Unila.
Art. 2º Instituir a Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos (Etir).
Art. 3º Para efeitos desta portaria, considera-se:
I - gestão da Segurança da Informação: ações e métodos que visam à integração das atividades de gestão de riscos, à gestão de continuidade do negócio, ao tratamento de incidentes, ao tratamento da informação, à conformidade, ao credenciamento, à segurança cibernética, à segurança física, à segurança lógica, à segurança orgânica e à segurança organizacional aos processos institucionais estratégicos, operacionais e táticos, não se limitando, portanto, à tecnologia da informação e comunicações;
II - segurança cibernética: ações voltadas para a segurança de operações, de forma a garantir que os sistemas de informação sejam capazes de resistir a eventos no espaço cibernético capazes de comprometer a disponibilidade, a integridade, a confidencialidade e a autenticidade dos dados armazenados, processados ou transmitidos e dos serviços que esses sistemas ofereçam ou tornem acessíveis.
Art. 4º A estrutura de Segurança da Informação terá as seguintes instâncias:
I - Comitê Permanente de Governança Integridade, Riscos e Controles (CGirc);
II - Comitê de Governança Digital (CGD);
III - Gestor(a) de Segurança da Informação; e
IV - Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos (Etir).
CAPÍTULO II
DO GESTOR DE SEGURANÇA DA INFORMAÇÃO
Art. 5º. O(A) gestor(a) de segurança da informação será designado dentre os servidores de cargo efetivo da Unila, com formação ou capacitação técnica compatível às suas atribuições.
Art. 6º. Compete ao(à) gestor(a) de segurança da informação:
I - assessorar a alta administração em assuntos de segurança da informação e na implementação da Política de Segurança da Informação;
II - coordenar a elaboração da Política de Segurança da Informação e das normas internas de segurança da informação;
III - coordenar a elaboração do Plano de Gestão de Riscos de Segurança da Informação;
IV - participar da elaboração do Plano de Continuidade de Negócios da instituição;
V - estimular ações de capacitação e de profissionalização de recursos humanos em temas relacionados à segurança da informação;
VI - promover a divulgação da política e das normas internas de segurança da informação a todos os servidores, usuários e prestadores de serviços que trabalham na instituição;
VII - incentivar estudos de novas tecnologias, bem como seus eventuais impactos relacionados à segurança da informação;
VIII - verificar os resultados dos trabalhos de auditoria sobre a gestão da segurança da informação;
IX - acompanhar a aplicação de ações corretivas e administrativas cabíveis nos casos de violação da segurança da informação;
X - manter contato direto com o Departamento de Segurança da Informação do Gabinete de Segurança Institucional da Presidência da República em assuntos relativos à segurança da informação;
XI - acolher, analisar e dar encaminhamento às demandas relacionadas à segurança da informação, com exceção daquelas de competência do Agente Responsável.
CAPÍTULO III
DA EQUIPE DE PREVENÇÃO, TRATAMENTO E RESPOSTA A INCIDENTES CIBERNÉTICOS
Art. 7º A Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos (Etir) tem como missão atuar na prevenção, tratamento e resposta a incidentes de segurança cibernética, ocorridos nas redes de dados da Unila.
Art. 8º A Etir atenderá solicitações de análise e respostas a incidentes demandadas formalmente ao Agente Responsável, conforme fluxo do processo disponível no sítio institucional.
Art. 9º A Etir poderá interagir com outros órgãos da Administração Pública Federal, do Poder Legislativo, do Poder Judiciário e do Ministério Público que atuem no mesmo campo, fornecendo informações acerca dos incidentes de segurança ocorridos nas redes de dados da Unila, alimentando as suas bases de conhecimento e fomentando a troca de tecnologias.
Art. 10. A Etir será formada por servidores efetivos da área de Tecnologia da Informação da Unila que, além de suas funções regulares, passarão a desempenhar as atividades relacionadas ao tratamento e resposta a incidentes em redes e demais recursos computacionais da instituição.
Art. 11. A Etir adotará o modelo de autonomia completa (nos termos do capítulo 9 da Norma Complementar nº 05/IN01/DSIC/GSIPR) e, assim, poderá conduzir ações e tomar as medidas necessárias para conter os incidentes de segurança cibernética.
Art. 12. A Etir estará vinculada ao CGD e será composta por membros com reconhecida qualificação técnica e comportamento ético, indicados pelo(a) gestor(a) da área de Tecnologia da Informação e designados por portaria do Reitor.
Art. 13. A Etir funcionará como um grupo de trabalho permanente, de atuação primordialmente reativa e não exclusiva.
Parágrafo único. As atividades da Etir terão prioridade sobre aquelas designadas pelos chefes imediatos de seus respectivos integrantes.
Art. 14. São atividades da Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos:
I - auditar sistemas e procedimentos da infraestrutura cibernética;
II - organizar e centralizar as atividades para o tratamento e resposta de incidentes de segurança em redes computacionais da Unila;
III - manter registro dos incidentes de segurança em redes de computadores notificados ou detectados, com o objetivo de assegurar registro histórico das atividades da Etir;
IV - coletar evidências em caso de incidentes de segurança da informação na rede interna de computadores;
V - gerenciar ações de contingência em conjunto com setores técnicos da área de TI;
VI - colaborar de maneira contínua com outros grupos de prevenção, tratamento e resposta de incidentes cibernéticos na administração pública federal direta, autárquica e fundacional e o Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo do Departamento de Segurança da Informação do Gabinete de Segurança Institucional da Presidência da República;
VII - emitir alertas e advertências;
VIII - emitir relatórios e pareceres técnicos relativos à segurança cibernética;
IX - recomendar o aperfeiçoamento ou a implementação de novos controles de segurança da informação.
Parágrafo único. A Etir guia-se por padrões e procedimentos técnicos e normativos no contexto de tratamento de incidentes de rede e fará uso das melhores práticas de mercado.
Art. 15. Caberá ao Agente Responsável da Etir:
I - elaborar os procedimentos internos a serem observados pela Etir, com apoio da própria equipe, observando as melhores práticas em segurança cibernética;
II - gerenciar as atividades desempenhadas pela Etir;
III - distribuir as tarefas para a Etir, inclusive as de caráter proativo, respeitando as características de conhecimento técnico de cada membro;
IV - acompanhar as investigações e as avaliações dos danos decorrentes de quebras de segurança;
V - solicitar ao(à) gestor(a) da área de Tecnologia da Informação, quando necessário, a convocação de servidores da unidade, para atuar no tratamento e resposta de determinado incidente de segurança;
VI - assegurar que os usuários sejam informados sobre os procedimentos adotados em relação aos incidentes de segurança cibernética por eles comunicados;
VII - recomendar ações de capacitação, nos assuntos inerentes às atividades da Etir, para compor o Plano Anual de Capacitação.
Parágrafo único. O Agente Responsável será indicado pelo Coordenador de Tecnologia da Informação e designado por portaria do Reitor.
CAPÍTULO IV
DAS DISPOSIÇÕES FINAIS E TRANSITÓRIAS
Art. 16. O cidadão, como principal cliente da Gestão de Segurança da Informação e Comunicação da Administração Pública Federal, direta e indireta, poderá apresentar sugestões de melhorias ou denúncias de quebra de segurança.
Parágrafo único. Caberá ao CGD, dar encaminhamento às sugestões e denúncias apresentadas.
Art. 17. Esta Portaria entra em vigor a partir de 2 de agosto de 2021, nos termos do Art. 4º do Decreto nº 10.139, de 28 de novembro de 2019.