PORTARIA
SRF Nº 450, DE 28 DE ABRIL DE 2004
Dispõe sobre a Política de Segurança da Informação no âmbito da Secretaria da Receita Federal.
O SECRETÁRIO DA RECEITA FEDERAL, no uso da atribuição que lhe confere
o inciso III do art. 209 do Regimento Interno da Secretaria da Receita Federal,
aprovado pela Portaria MF nº
259, de 24 de agosto de 2001, e tendo em vista o disposto no Decreto nº 3.505, de 13 de junho de 2000, resolve:
Art. 1º A
Política de Segurança da Informação, no âmbito da Secretaria da Receita Federal
(SRF), tem como pressuposto a garantia da confidencialidade, integridade e
disponibilidade dos ativos de informação.
Art. 2º
Para efeito desta Portaria, entende-se por:
I - ativos de
informação, o patrimônio composto por todos os dados e informações gerados e
manipulados nos processos da SRF, bem assim todos os elementos de
infra-estrutura, tecnologia, hardware e software necessários à execução dos
processos da organização;
II - ambiente
informatizado, o conjunto de recursos que utiliza ou disponibiliza serviços de
processamento de dados e sistemas de informação de uso na SRF;
III -
confidencialidade, o princípio de segurança que trata da garantia de que o
acesso à informação seja obtido somente por pessoas autorizadas;
IV -
integridade, o princípio de segurança que trata da salvaguarda da exatidão e
confiabilidade da informação e dos métodos de processamento;
V -
disponibilidade, o princípio de segurança que trata da garantia de que pessoas
autorizadas obtenham acesso à informação e aos recursos correspondentes, sempre
que necessário;
VI - análise
de risco e vulnerabilidades, a avaliação das ameaças, impactos e vulnerabilidades
dos ativos de informação e da probabilidade de sua ocorrência;
VII - controle
de acesso, o conjunto de recursos que efetivam as autorizações e as restrições
de acesso aos ativos de informação; e
VIII - software
homologado, o software desenvolvido, adquirido ou alterado pela SRF, ou a
pedido desta, e submetido a procedimentos de verificação quanto à aderência às
especificações e às normas vigentes na SRF.
Art. 3º Os
ativos de informação e o ambiente informatizado da SRF devem estar em conformidade
com as normas de segurança instituídas por esta Portaria e demais normas relativas
à segurança da informação.
Art. 4º Os
ativos de informação da SRF devem ser protegidos contra ações intencionais
ou acidentais que impliquem perda, destruição, inserção, cópia, extração,
alteração, uso e exposição indevidos, em conformidade com os princípios da
confidencialidade, integridade e disponibilidade.
Art. 5º As
informações da SRF devem ser classificadas em função de sua importância e
confidencialidade.
Art. 6º As
medidas de segurança devem ser adotadas de forma proporcional aos riscos existentes
e à magnitude dos danos potenciais, considerados o ambiente, o valor e a criticidade
da informação.
Parágrafo
único. Os dados e informações devem ser mantidos com o mesmo nível
de proteção, independente do meio no qual estejam armazenados, em que trafeguem
ou do ambiente em que estejam sendo processados.
Art. 7º O
acesso aos ativos de informação e ao ambiente informatizado da SRF deve ser
sempre motivado por necessidade de serviço, devendo ser controlado e restrito
às pessoas autorizadas.
§ 1º As
permissões de acesso são de uso exclusivo e intransferível, não podendo a
pessoa autorizada deixar qualquer ativo de informação em condições de ser
utilizado com suas permissões de acesso por terceiros.
§ 2º As
permissões de acesso devem ser graduadas de acordo com as atribuições dos
servidores.
§ 3º O acesso ao
ativo de informação não gera direito real sobre o mesmo e nem sobre os frutos
de sua utilização.
Art. 8º Os
servidores da SRF devem ser permanentemente treinados e capacitados a exercerem
as atividades inerentes à área de segurança da informação, bem assim sobre
as formas de proteção dos ativos de informação sob sua responsabilidade, de
acordo com programa de capacitação e desenvolvimento estabelecido pela Coordenação-Geral
de Tecnologia e Segurança da Informação (Cotec).
Art. 9º O
ambiente informatizado da SRF, com a finalidade de garantir os princípios
de confidencialidade, integridade e disponibilidade, deve possuir:
I - modelo de
gestão, devidamente aprovado pela Cotec;
II - plano de
contingência que assegure a operação e a recuperação de ativos de informação em
situações de emergência, de acordo com as necessidades e prazos específicos;
III - recursos
de autenticação que garantam a identificação individual e inequívoca do
usuário, quando do acesso aos ativos de informação;
IV - recursos
de criptografia;
V -
mecanismos de proteção da rede da SRF, inclusive em suas interfaces com outras
redes e com a Internet;
VI -
monitoração, em tempo real, com vistas a prover mecanismos de prevenção,
detecção, identificação e combate à invasão (intrusão);
VII -
mecanismos de prevenção, detecção e eliminação de vírus de computador e outros
programas maliciosos;
VIII -
sistemática de geração de cópias de segurança (backup) e de recuperação de
informações (restore) devidamente documentada, abrangendo periodicidade de
cópias, forma e local de armazenamento, autorização de uso, prazo de retenção e
plano de simulação e testes;
IX - medidas
para verificação dos dados quanto a sua precisão e consistência;
X - registro
de informações (log) com prazos de retenção e formas de acesso definidas, com
vistas a permitir a recuperação do sistema em caso de falha;
XI - registro
de informações (trilha de auditoria) com prazos de retenção e formas de acesso
definidas, com vistas a permitir auditoria, identificação de situações de
violação e contabilização individual do uso dos sistemas;
XII -
parâmetros de normalidade de utilização definidos; e
XIII - controle
de acesso físico às instalações e equipamentos.
Art. 10.
Os ambientes de produção, treinamento, prospecção, testes, homologação e desenvolvimento
dos sistemas informatizados, localizados nas unidades da SRF ou em seus prestadores
de serviços, devem ser distintos e de exclusividade da SRF, observadas as
regras definidas pela Cotec.
Art. 11.
O desenvolvimento de software, em todas as fases do processo, a prospecção
de produtos e serviços e os procedimentos de homologação deverão contar com
a participação de servidores em exercício na área de segurança da informação.
Art. 12. No
ambiente informatizado da SRF, devem ser utilizados e instalados somente softwares
homologados pela Cotec.
Parágrafo
único. O disposto no caput não se aplica aos ambientes de prospecção,
testes e homologação.
Art. 13. Os
softwares instalados nos equipamentos servidores, nos equipamentos de rede
e comunicação e nas estações de trabalho devem ser permanentemente atualizados,
visando incrementar aspectos de segurança e corrigir falhas.
Art. 14. Os
ativos de informação devem ser inventariados periodicamente por servidores
em exercício na área de tecnologia da informação, em relação aos aspectos
atinentes a hardware, software e configurações.
Art. 15. A
eliminação de informação protegida por sigilo fiscal ou de uso exclusivo da
SRF e de softwares instalados, constantes em dispositivos de armazenamento,
deve ser procedida mediante a utilização de ferramentas adequadas à eliminação
segura dos dados, quando:
I - destinados,
no âmbito da SRF, a outro servidor;
II - houver
alteração das atividades desempenhadas pelo servidor e o conteúdo armazenado
for prescindível às novas atividades;
III -
destinados a pessoas ou organizações não autorizadas; e
IV - o
dispositivo de armazenamento estiver danificado.
Parágrafo
único. Na hipótese prevista no inciso IV do caput, o dispositivo
de armazenamento deverá ser destruído se as informações nele contidas não
puderem ser eliminadas.
Art. 16.
Devem ser adotadas medidas adicionais de proteção, visando garantir o mesmo
nível de segurança das instalações internas da SRF, no caso de:
I -
computação móvel;
II - acesso
remoto ao ambiente informatizado da SRF;
III - operação
de redes instaladas em recintos diferentes das unidades da SRF;
IV -
equipamentos destinados ao acesso público; e
V -
comunicação sem fio.
Art. 17. O
tráfego de informações em redes locais e de longa distância deve ser protegido
contra danos, perdas, indisponibilidades, uso ou exposição indevidos, de acordo
com seu valor, criticidade e confidencialidade.
§ 1º O tráfego
de dados deve ser efetuado por meio de canais privativos, sejam eles físicos ou
virtuais, que provejam criptografia e autenticação.
§ 2º As redes
devem possuir rotas alternativas e contar com mecanismos de redundância.
Art. 18.
É vedada a alteração dos mecanismos e configurações definidos pela Cotec,
incluindo:
I - infra-estrutura
elétrica;
II -
infra-estrutura lógica;
III -
equipamentos de rede e de conectividade;
IV -
equipamentos servidores;
V - estações
de trabalho fixas;
VI - estações
de trabalho móveis;
VII - sistemas
operacionais;
VIII -
softwares em geral; e
IX -
dispositivos de comunicação sem fio.
Art. 19.
A Cotec editará e manterá atualizado Manual de Procedimentos de Segurança,
que servirá de referência para certificação de conformidade dos ambientes
gerenciados pela SRF e pelos prestadores de serviços, devendo abranger, dentre
outros, os seguintes aspectos:
I - segurança física das instalações
onde se encontram os recursos do ambiente;
II -
configuração dos equipamentos servidores, de rede e de comunicações, bem assim
das estações de trabalho;
III -
atualização dos softwares em uso na SRF;
IV -
prevenção, detecção e eliminação de vírus de computador;
V - cópia de
segurança (backup) e recuperação;
VI - uso,
armazenamento e destruição de informações; e
VII -
transmissão e compactação de dados.
Art. 20.
É responsabilidade de todos os servidores cuidar da integridade, confidencialidade
e disponibilidade dos ativos de informação da SRF.
Parágrafo
único. O servidor deve comunicar por escrito quaisquer
irregularidades, falhas ou desvios identificados à chefia imediata e à área
responsável pela segurança da informação da sua unidade da SRF.
Art. 21. É
proibida a exploração de falhas ou vulnerabilidades porventura existentes
nos ativos de informação da SRF.
Parágrafo
único. A Cotec poderá autorizar testes controlados para
identificar a existência de falhas ou vulnerabilidades nos ativos de informação
da SRF.
I - gerenciar
o processo de implantação e aplicação das normas constantes nesta Portaria;
II - definir
os agentes intervenientes, bem assim as respectivas atribuições, necessários
para garantir o fiel cumprimento desta Portaria;
III -
regulamentar o acesso aos ativos de informação da SRF;
IV - realizar,
periodicamente, auditoria de segurança e análise de risco e vulnerabilidades
nos ambientes operacionais e nos sistemas de informação localizados nos
prestadores de serviços e nas próprias instalações nas unidades da SRF; e
V - dirimir
eventuais dúvidas relativas aos procedimentos regulamentados; e
VI
- expedir normas complementares.
Art. 23. O
descumprimento das disposições constantes nesta Portaria e demais normas sobre
segurança da informação caracteriza infração funcional, a ser apurada em processo
administrativo disciplinar, sem prejuízo das responsabilidades penal e civil.
Art. 24. Os
contratos de prestação de serviços e convênios celebrados pela SRF devem contemplar,
quando aplicáveis, as normas de segurança instituídas por esta Portaria e
demais normas relativas à segurança da informação.
Art. 25. A
Cotec editará, no prazo de trinta dias contados desta data, normas complementares
ao disposto nesta Portaria.
Art. 26.
Esta Portaria entra em vigor em 1º de junho de 2004.
Art. 27. Fica
formalmente revogada, a partir de 1º de junho de 2004, sem interrupção de
sua força normativa, a Portaria SRF
nº 782, de 20 de junho de 1997.
JORGE ANTONIO
DEHER RACHID