O Advogado-Geral da União, no uso de suas atribuições que lhe conferem os incisos I e XVIII do art. 4º da Lei Complementar nº 73, de 10 de fevereiro de 1993,

Resolve:

Art. 1º Instituir, na forma do Anexo, a Política de Segurança da Informação que estabelece, no âmbito da Advocacia-Geral da União, as diretrizes para o manuseio, tratamento, controle e proteção dos dados, informações e conhecimentos produzidos, armazenados ou transmitidos, por qualquer meio.

Parágrafo único. A Política de Segurança da Informação obriga os membros, servidores e estagiários da AGU e demais agentes públicos ou particulares que, por força de convênios, protocolos, acordos de cooperação e instrumentos congêneres executem atividades vinculadas à instituição.

Art. 2º Esta Portaria entra em vigor na data de sua publicação.

LUÍS INÁCIO LUCENA ADAMS

1. INTRODUÇÃO

A Política de Segurança da Informação tem por finalidade estabelecer as diretrizes para a segurança do manuseio, tratamento e controle e para a proteção dos dados, informações e conhecimentos produzidos, armazenados ou transmitidos, por qualquer meio pelos sistemas de informação a serem, obrigatoriamente, observadas na definição de regras operacionais e procedimentos no âmbito da Advocacia-Geral da União.

2. PRINCÍPIOS E DIRETRIZES

São princípios da Política de Segurança da Informação:

I - a garantia ao direito pessoal e coletivo à intimidade e ao sigilo da correspondência e das comunicações individuais; e

II - a proteção dos dados, informações e conhecimentos produzidos na AGU classificados como sigilosos.

São diretrizes da Política de Segurança da Informação:

I - a preservação da disponibilidade, integridade, confiabilidade e autenticidade dos dados, informações e conhecimentos que compõe o ativo da informação da AGU;

II - continuidade das atividades;

III - economicidade da proteção dos ativos de informação;

IV - pessoalidade e utilidade do acesso aos ativos de informação; e

V - a responsabilização do usuário pelos atos que comprometam a segurança do sistema da informação.

3. OBJETIVO

A Política de Segurança da Informação tem por objetivo estabelecer mecanismos e controles para garantir a efetiva proteção dos dados, informações e conhecimentos gerados na Advocacia-Geral da União.

4. ABRANGÊNCIA

A Política de Segurança da Informação obriga os membros, servidores e estagiários da AGU e demais agentes públicos ou particulares que, oficialmente, executem atividade vinculada à atuação institucional da AGU.

5. DEFINIÇÕES

Para os fins desta Política, considera-se:

Ativo de Informação - o patrimônio composto por todos os dados, informações e conhecimentos obtidos, gerados e manipulados durante a execução dos sistemas e processos de trabalho da Advocacia-Geral da União;

Controle de Acesso - procedimento destinado a impor restrições ao acesso aos dados e informações de um sistema exercido pela gerência responsável pela Segurança da Informação da Advocacia-Geral da União;

Direito de Acesso - privilégio relacionado a um cargo, pessoa ou processo para ter acesso a um determinado ativo;

Incidente de Segurança - qualquer evento ou ocorrência que promova uma ou mais ações tendentes a comprometer ou ameaçar a integridade, a autenticidade, ou a disponibilidade de qualquer ativo da Advocacia-Geral da União;

Proteção dos Ativos - processo pelo qual os ativos e seus respectivos meios de registro recebem classificação quanto ao grau de sensibilidade. O meio de registro de um ativo de informação deve receber a mesma classificação de proteção dada ao ativo que o contém;

Responsabilidade - rol de deveres da pessoa em relação ao acervo de informações, decorrente da função que titulariza.

Usuários - membros ou servidores da Advocacia-Geral da União, estagiários e demais agentes públicos ou particulares que oficialmente executem atividade vinculada à atuação da Instituição.

6. REGRAS ESPECÍFICAS

6.1. Organização da Segurança da Informação

6.1.1. A Política de Segurança da Informação é o instrumento por meio do qual se regula a proteção dos dados, informações e conhecimentos da Instituição, com vistas à garantia de integridade, disponibilidade, conformidade e confidencialidade;

6.1.2. Todos os mecanismos de proteção utilizados para a segurança da informação devem ser mantidos para preservar a continuidade do negócio (regular exercício das funções institucionais);

6.1.3. O gerenciamento dos ativos de informação deverão observar normas operacionais e procedimentos específicos, a fim de garantir sua operação segura e contínua;

6.1.4. O cumprimento desta Política, bem como das normas operacionais e procedimentos de Segurança da Informação na AGU será auditado periodicamente, de acordo com os critérios definidos pelo Comitê de Tecnologia da Informação da AGU, vinculado diretamente ao Gabinete do Advogado-Geral da União;

6.1.5. As medidas de proteção devem ser planejadas e os gastos na aplicação de controles devem ser compatíveis com valor do ativo protegido;

6.1.6. O acesso as informações, sistemas e instalações dependem da apresentação de identificador único, pessoal, intransferível e com validade estabelecida, que permita de maneira clara e indiscutível o seu reconhecimento;

6.1.7. A aquisição, contratação de serviços de desenvolvimento, instalação e uso de sistemas e equipamentos devem ser homologados e/ou autorizados pela administração;

6.1.8. O uso de recursos e informações pode ser controlado e monitorado pela AGU para garantir o uso estrito e correto dos mesmos;

6.1.9. Os requisitos de segurança da informação devem estar explicitamente citados em todos os termos de compromisso celebrados o órgão e terceiros;

6.1.10. Todos os membros, servidores, parceiros, licenciados, fornecedores, terceiros e colaboradores eventuais, usuários dos ativos sigilosos, devem assinar Termo de Compromisso quanto ao sigilo dos dados, informações e conhecimentos da Advocacia-Geral da União.

6.2. Gestão de Ativos

6.2.1. Os ativos de informação da Advocacia-Geral da União devem ser inventariados, atribuídos aos respectivos responsáveis e seu uso deve estar em conformidade com os princípios e normas operacionais de segurança da informação;

6.2.2. Os ativos de informação da Advocacia-Geral da União são destinados ao uso corporativo, sendo vedada a utilização para fins em desconformidade com os interesses institucionais;

6.2.3. Todos os ativos devem ser classificados em termos de valor, requisitos legais, sensibilidade e criticidade para a Instituição;

6.2.4. O usuário deve ter acesso apenas aos ativos necessários e indispensáveis ao seu trabalho, respeitando as recomendações de sigilo da Norma de Classificação da Informação.

6.3. Segurança em Recursos Humanos

6.3.1. As responsabilidades pela segurança da informação devem ser definidas nas descrições de cargos e funções, bem como nos termos e condições das contratações que envolvam o manuseio de dados, informações ou conhecimentos da Advocacia-Geral da União;

6.3.2. Todos os usuários devem ser conscientizados e treinados nos procedimentos de segurança da informação;

6.3.3. O controle operacional de uma atividade crítica não pode ser atribuição exclusiva de uma única pessoa;

6.3.4. Deve ser estabelecido processo disciplinar para tratar das violações de segurança;

6.3.5. Quando do afastamento, mudança de responsabilidades ou atribuições dentro da organização faz-se necessária a revisão imediata dos direitos de acesso e uso dos ativos;

6.3.6. Quando da efetivação do desligamento de usuário, deverão ser extintos todos os direitos de acesso e uso dos ativos a ele atribuído.

6.4. Segurança física e do ambiente

6.4.1. Todas as instalações da Advocacia-Geral da União devem ser classificadas de acordo com a importância e o nível de criticidade dos ativos ali mantidos;

6.4.2. Instalações que mantêm ativos críticos ou sensíveis devem ser mantidas seguras, protegidas por perímetros de segurança definidos, com barreiras de segurança e controles de acesso apropriados;

6.4.3. A entrada, movimentação ou saída de ativos deve ser registrada e autorizada pela Administração;

6.4.4. Deve ser projetada e aplicada proteção física contra ameaças externas e do meio ambiente às instalações e aos equipamentos da Instituição;

6.4.5. Deve ser estabelecida norma operacional para o trabalho em instalações seguras incluindo o controle dos procedimentos de empregados e terceiros que trabalhem em tais instalações.

6.5. Segurança do ambiente lógico

6.5.1. A informação deve ser protegida de acordo com o seu valor, sensibilidade e criticidade, elaborando-se, para tanto, sistema de classificação da informação;

6.5.2. Os dados, as informações e os sistemas de informação da Advocacia-Geral da União devem ser protegidos contra ameaças e ações não autorizadas, acidentais ou não, de modo a reduzir riscos e garantir a integridade, sigilo e disponibilidade desses bens;

6.5.3. As violações de segurança devem ser registradas e esses registros devem ser analisados periodicamente para os propósitos de caráter corretivo, legal e de auditoria. Os registros devem ser protegidos e armazenados de acordo com a sua classificação;

6.5.4. Os sistemas e recursos que suportam funções críticas para operação da AGU, devem assegurar a capacidade de recuperação nos prazos e condições definidas em situações de contingência;

6.5.5. O inventário sistematizado de toda a estrutura que serve como base para manipulação, armazenamento e transmissão dos ativos de processamento deve estar registrado e deve ser mantido atualizado em intervalos de tempo definidos pela área responsável.

6.6. Gestão de riscos, incidentes e continuidade do negócio

6.6.1. A análise de risco deve ser realizada no âmbito da Advocacia-Geral da União, visando identificar os ativos relevantes e determinar ações de gestão apropriadas;

6.6.2. A análise de risco deve ser atualizada periodicamente, no mínimo a cada 2 (dois) anos, em função do inventário de ativos, mudanças, ameaças ou vulnerabilidades;

6.6.3. A análise de risco é instrumento do Programa de Gestão de Riscos que deve incluir um plano de continuidade de negócio e um plano de gestão de incidentes;

6.6.4. O Plano de Continuidade do Negócio deve complementar a análise de risco, visando limitar as conseqüências aos danos do incidente e garantir que as informações requeridas para os processos do negócio estejam prontamente disponíveis;

6.6.5. O Plano de Gestão de Incidentes definirá responsabilidades e procedimentos para assegurar respostas rápidas, efetivas e ordenadas a incidente de segurança da informação;

6.6.6. Os eventos e incidentes de segurança da informação devem ser tratados de acordo com o Plano de Gestão de Incidentes, comunicados e registrados.

7. RESPONSABILIDADES

7.1. Esta Política, as normas operacionais e os procedimentos de segurança obrigam todos os membros ou servidores da Advocacia-Geral da União, estagiários e demais agentes públicos ou particulares que oficialmente executem atividade vinculada à atuação da Instituição.

7.2. Compete ao Gabinete do Advogado-Geral da União:

7.2.1. assegurar que a implementação dos controles de segurança da informação tenha uma coordenação e permeie toda a organização; e

7.2.2. assegurar os recursos necessários para a implementação e gestão da Política de Segurança da Informação da Advocacia-Geral da União.

7.3. Compete à Gerência de Tecnologia da Informação da AGU:

7.3.1. sempre que necessário, propor modificações à Política de Segurança da Informação;

7.3.2. definir estratégias para a implantação da Política de Segurança da Informação;

7.3.3. editar normas operacionais e procedimentos de segurança da informação;

7.3.4. planejar e coordenar a execução dos programas, planos, projetos e ações de segurança;

7.3.5. apurar os incidentes de segurança críticos e encaminhar os fatos apurados para aplicação das penalidades previstas.

7.3.6. supervisionar, analisar e avaliar a efetividade dos processos, procedimentos, sistemas e dispositivos de segurança da informação;

7.3.7. manter a análise de risco atualizada, refletindo o estado corrente da organização;

7.3.8. identificar controles físicos, administrativos e tecnológicos para mitigação do risco;

7.3.9. recepcionar, organizar, armazenar e tratar adequadamente as informações de eventos e incidentes de segurança, determinando aos respectivos gestores as ações corretivas ou de contingência em cada caso;

7.3.10. promover a conscientização e propor o treinamento dos usuários em segurança da informação; e

7.3.11. produzir relatórios síntese de incidentes de segurança da informação para o Gabinete do Advogado-Geral da União.

8. DISPOSIÇÕES FINAIS

8.1. Penalidades

O não cumprimento das determinações da Política de Segurança da Informação sujeita o infrator às penalidades previstas na legislação e nos regulamentos internos da Advocacia-Geral da União.

8.2. Revisão da Política de Segurança

Esta Política de Segurança deve ser revisada e atualizada periodicamente no máximo a cada 2 (dois) anos, caso não ocorram eventos ou fatos relevantes que exijam uma revisão imediata;

9. REFERÊNCIAS

9.1. Lei nº 9.610, de 19 de fevereiro de 1998, que altera, atualiza e consolida a legislação sobre direitos autorais;

9.2. Lei nº 9.983, de 14 de julho de 2000, que dispõe sobre a responsabilidade administrativa, civil e criminal de usuários que cometam irregularidades em razão do acesso a dados, informações e sistemas informatizados da Administração Pública;

9.3. Lei nº 3.505, de 13 de junho de 2000, que institui a Política de Segurança da Informação nos órgãos e entidades da Administração Pública Federal;

9.4. Decreto nº 4.553, de 27 de dezembro de 2002, que dispõe sobre a salvaguarda de dados, informações, documentos e materiais sigilosos de interesse de segurança da sociedade e do Estado, no âmbito da Administração Pública Federal, e dá outras providências;

9.5. NBR/ISO/IEC 27002/2005, que institui o código de melhores práticas para gestão de segurança da informação.

9.6. NBR/ISO/IEC 27001/2006, que estabelece os elementos de um Sistema de Gestão de Segurança da Informação.

9.7. Instrução Normativa GSI Nº 1, de 13 de junho de 2008, que disciplina a Gestão de Segurança da Informação e Comunicações na Administração Pública Federal.