O Secretário da Fazenda, tendo em vista a necessidade de garantir a confidencialidade, a integridade e a disponibilidade de dados e informações institucionais mantidos pela Secretaria da Fazenda - SEFAZ,

Resolve:

Art. 1º. Fica instituída a Política de Segurança da Informação da SEFAZ, com os seguintes objetivos:

I - atender às normas de proteção ao sigilo fiscal, à inviolabilidade de dados institucionais e ao sigilo da correspondência e das comunicações, nos termos previstos na Constituição Federal, na Constituição do Estado de Pernambuco e no Código Tributário Nacional;

II - adotar a segurança da informação como diretriz de programas e ações da Secretaria, provendo os meios e recursos necessários ao seu desenvolvimento;

III - proteger dados e informações institucionais que requeiram tratamento ou proteção especializados;

IV - promover a capacitação em tecnologias de proteção a dados armazenados em meio eletrônico;

V - dotar a segurança da informação de uma gestão formal, baseada em processos, ferramentas e controles recomendados na série de normas ABNT NBR/ISO 27.001 e suas evoluções;

VI - criar, desenvolver e manter cultura organizacional de segurança da informação;

VII - dotar os órgãos da SEFAZ de instrumentos jurídicos, normativos e organizacionais que os capacitem técnica e administrativamente a assegurar a confidencialidade, a integridade, a autenticidade, o não repúdio e a disponibilidade dos dados e das informações tratadas, classifi cadas e sensíveis;

VIII - promover o emprego de sistemas, equipamentos, dispositivos e atividades vinculados à segurança dos sistemas de informação;

IX - promover a capacitação de recursos humanos para o desenvolvimento de competências técnica e administrativa em segurança da informação;

X - estabelecer normas necessárias à efetiva implementação da segurança da informação;

XI - promover ações necessárias à implementação e manutenção da segurança da informação;

XII - promover intercâmbio técnico-administrativo entre a SEFAZ e as instituições públicas e privadas, sobre as atividades de segurança da informação; e

XIII - assegurar a interoperabilidade entre os sistemas de segurança da informação.

Art. 2º. Para fins do disposto nesta Portaria, compete à Superintendência de Tecnologia da Informação - STI, assessorada pelo Comitê de Informática:

I - planejar, executar e analisar criticamente a Segurança da Informação;

II - elaborar e implementar programas destinados à conscientização e à capacitação dos recursos humanos que serão utilizados na consecução dos objetivos de que trata o art. 1º, visando garantir a adequada articulação entre os órgãos e as entidades da Administração Pública;

III - estabelecer programas destinados à formação e ao aprimoramento dos recursos humanos em segurança da informação;

IV - propor a regulamentação de matérias relacionadas com a segurança da informação;

V - acompanhar a evolução das atividades inerentes à segurança da informação;

VI - orientar a condução da Política de Segurança da Informação já existente ou a ser implementada;

VII - realizar auditoria interna, relativamente à política de segurança da informação, no intuito de aferir o nível de segurança dos respectivos sistemas de informação;

VIII - estabelecer regras, padrões, níveis, tipos e demais aspectos relacionados ao emprego dos produtos que incorporem recursos critptográficos, de modo a assegurar a confidencialidade, a autenticidade, a integridade e o não repúdio, assim como a interoperabilidade entre os Sistemas de Segurança da Informação; e

IX - desenvolver sistema de classificação de dados e informações, visando à garantia dos níveis de segurança desejados, assim como à normatização do acesso às informações.

Art. 3º. A gestão de segurança do ambiente informatizado da SEFAZ será exercida mediante:

I - normas que regulem as responsabilidades de usuários, prestadores de serviços e estagiários, relativamente ao uso da tecnologia da informação dentro das instalações da Secretaria;

II - mecanismos de segurança para controlar o acesso aos ambientes físicos que abriguem equipamentos ou informações sensíveis;

III - procedimentos que tornem computadores e redes mais resistentes às ameaças físicas, ambientais e humanas;

IV - gestão de operações e comunicações, dotada de normas e procedimentos para a documentação e segregação de funções no ambiente informatizado, em especial quanto a;

a) gerenciamento de serviços terceirizados;

b) planejamento e aceitação de sistemas;

c) proteção contra códigos maliciosos e códigos móveis;

d) cópias de segurança;

e) segurança em rede;

f) manuseio de mídias; e

g) monitoramento do ambiente informatizado;

V - controles de acesso para normatizar e regular o acesso do usuário aos sistemas informatizados, às redes da organização, aos sistemas operacionais, às aplicações e à informação, bem como à computação móvel e ao teletrabalho;

VI - normas e procedimentos para aquisição, desenvolvimento e manutenção de sistemas de informação, inclusive definição de requisitos para a respectiva segurança, bem como para o processamento correto de aplicações, controles criptográficos, segurança de arquivos dos sistemas, segurança em processo de desenvolvimento e suporte, além de gestão de vulnerabilidades técnicas;

VII - Sistema de Tratamento de Incidentes, sob a responsabilidade das equipes competentes da STI, que receba, processe e resolva incidentes de mau funcionamento de ativos tecnológicos da SEFAZ;

VIII - Gestão da Continuidade do Negócio, que assegure a operação e a recuperação de ativos de informação em situações de emergência, de acordo com as necessidades e prazos específicos; e

IX - Auditoria de Sistemas, que identifique violações a dispositivos legais, regulamentos ou obrigações contratuais, cujo objeto envolva o uso ou operação de ativos tecnológicos e não tecnológicos.

Art. 4º. Aplica-se a Política de Segurança da Informação a todos os ativos tecnológicos e não tecnológicos, em especial a:

I - processos da SEFAZ, eletrônicos;

II - pessoas que trabalham na SEFAZ, que sejam oriundas do quadro próprio da Secretaria, de outros órgãos e entidades da Administração Pública, titulares de cargos comissionados, bem como pessoas físicas e jurídicas que tenham contrato administrativo ou de estágio; e

III - ativos de tecnologia da informação e comunicação, como computadores, dispositivos de armazenamento e comunicação, que processem ou guardem informações institucionais.

Art. 5º. Para os efeitos desta Portaria ficam estabelecidas as seguintes conceituações:

I - Certificado de Conformidade: garantia formal de que um produto ou serviço, devidamente identificado, encontra-se de acordo com a legislação vigente;

II - segurança da informação: proteção à disponibilidade, confidencialidade e integridade de sistemas de informação; proteção às áreas e instalações que abrigam artefatos de comunicações e computação; e proteção às áreas destinadas a prevenir, detectar, deter e documentar eventuais ameaças à operação dos sistemas;

III - confidencialidade: princípio de segurança que visa à garantia de que o acesso à informação seja obtido somente por pessoas autorizadas;

IV - integridade: princípio de segurança que visa à salvaguarda da exatidão e confiabilidade da informação e dos métodos de processamento;

V - disponibilidade: princípio de segurança que visa à garantia de que pessoas autorizadas obtenham acesso à informação e aos recursos correspondentes, sempre que necessário;

VI - análise de risco: avaliação das ameaças, impactos e vulnerabilidades dos ativos de informação e da probabilidade de sua ocorrência; e

VII - ativo tecnológico: bem dotado de expressão financeira que processa ou armazena dados, podendo ser material, como computadores, dispositivos de armazenamento e comutação de dados; ou imaterial, como sistemas de informação, direitos de licença de software, dados sensíveis ou protegidos pelo sigilo fiscal, entre outros.

Art. 6º. Esta Portaria entra em vigor na data de sua publicação.

Art. 7º. Revoga-se a Portaria SF nº 15, de 20.01.2006.

PAULO HENRIQUE SARAIVA CÂMARA

Secretário da Fazenda