Portaria
SRF
nº 450, de 28 de abril de 2004
(Publicado(a) no DOU de 02/06/2004, seção , página 12)
Dispõe sobre a Política de Segurança da Informação no âmbito da Secretaria da Receita Federal.
O SECRETÁRIO DA RECEITA FEDERAL, no uso da atribuição que lhe confere o inciso III do art. 209 do Regimento Interno da Secretaria da Receita Federal, aprovado pela Portaria MF nº 259, de 24 de agosto de 2001, e tendo em vista o disposto no Decreto nº 3.505, de 13 de junho de 2000, resolve:
Art. 1º A Política de Segurança da Informação, no âmbito da Secretaria da Receita Federal (SRF), tem como pressuposto a garantia da confidencialidade, integridade e disponibilidade dos ativos de informação.
I - ativos de informação, o patrimônio composto por todos os dados e informações gerados e manipulados nos processos da SRF, bem assim todos os elementos de infra-estrutura, tecnologia, hardware e software necessários à execução dos processos da organização;
II - ambiente informatizado, o conjunto de recursos que utiliza ou disponibiliza serviços de processamento de dados e sistemas de informação de uso na SRF;
III - confidencialidade, o princípio de segurança que trata da garantia de que o acesso à informação seja obtido somente por pessoas autorizadas;
IV - integridade, o princípio de segurança que trata da salvaguarda da exatidão e confiabilidade da informação e dos métodos de processamento;
V - disponibilidade, o princípio de segurança que trata da garantia de que pessoas autorizadas obtenham acesso à informação e aos recursos correspondentes, sempre que necessário;
VI - análise de risco e vulnerabilidades, a avaliação das ameaças, impactos e vulnerabilidades dos ativos de informação e da probabilidade de sua ocorrência;
VII - controle de acesso, o conjunto de recursos que efetivam as autorizações e as restrições de acesso aos ativos de informação; e
VIII - software homologado, o software desenvolvido, adquirido ou alterado pela SRF, ou a pedido desta, e submetido a procedimentos de verificação quanto à aderência às especificações e às normas vigentes na SRF.
Art. 3º Os ativos de informação e o ambiente informatizado da SRF devem estar em conformidade com as normas de segurança instituídas por esta Portaria e demais normas relativas à segurança da informação.
Art. 4º Os ativos de informação da SRF devem ser protegidos contra ações intencionais ou acidentais que impliquem perda, destruição, inserção, cópia, extração, alteração, uso e exposição indevidos, em conformidade com os princípios da confidencialidade, integridade e disponibilidade.
Art. 5º As informações da SRF devem ser classificadas em função de sua importância e confidencialidade.
Art. 6º As medidas de segurança devem ser adotadas de forma proporcional aos riscos existentes e à magnitude dos danos potenciais, considerados o ambiente, o valor e a criticidade da informação.
Parágrafo único. Os dados e informações devem ser mantidos com o mesmo nível de proteção, independente do meio no qual estejam armazenados, em que trafeguem ou do ambiente em que estejam sendo processados.
Art. 7º O acesso aos ativos de informação e ao ambiente informatizado da SRF deve ser sempre motivado por necessidade de serviço, devendo ser controlado e restrito às pessoas autorizadas.
§ 1º As permissões de acesso são de uso exclusivo e intransferível, não podendo a pessoa autorizada deixar qualquer ativo de informação em condições de ser utilizado com suas permissões de acesso por terceiros.
§ 3º O acesso ao ativo de informação não gera direito real sobre o mesmo e nem sobre os frutos de sua utilização.
Art. 8º Os servidores da SRF devem ser permanentemente treinados e capacitados a exercerem as atividades inerentes à área de segurança da informação, bem assim sobre as formas de proteção dos ativos de informação sob sua responsabilidade, de acordo com programa de capacitação e desenvolvimento estabelecido pela Coordenação-Geral de Tecnologia e Segurança da Informação (Cotec).
Art. 9º O ambiente informatizado da SRF, com a finalidade de garantir os princípios de confidencialidade, integridade e disponibilidade, deve possuir:
II - plano de contingência que assegure a operação e a recuperação de ativos de informação em situações de emergência, de acordo com as necessidades e prazos específicos;
III - recursos de autenticação que garantam a identificação individual e inequívoca do usuário, quando do acesso aos ativos de informação;
V - mecanismos de proteção da rede da SRF, inclusive em suas interfaces com outras redes e com a Internet;
VI - monitoração, em tempo real, com vistas a prover mecanismos de prevenção, detecção, identificação e combate à invasão (intrusão);
VII - mecanismos de prevenção, detecção e eliminação de vírus de computador e outros programas maliciosos;
VIII - sistemática de geração de cópias de segurança (backup) e de recuperação de informações (restore) devidamente documentada, abrangendo periodicidade de cópias, forma e local de armazenamento, autorização de uso, prazo de retenção e plano de simulação e testes;
X - registro de informações (log) com prazos de retenção e formas de acesso definidas, com vistas a permitir a recuperação do sistema em caso de falha;
XI - registro de informações (trilha de auditoria) com prazos de retenção e formas de acesso definidas, com vistas a permitir auditoria, identificação de situações de violação e contabilização individual do uso dos sistemas;
Art. 10. Os ambientes de produção, treinamento, prospecção, testes, homologação e desenvolvimento dos sistemas informatizados, localizados nas unidades da SRF ou em seus prestadores de serviços, devem ser distintos e de exclusividade da SRF, observadas as regras definidas pela Cotec.
Art. 11. O desenvolvimento de software, em todas as fases do processo, a prospecção de produtos e serviços e os procedimentos de homologação deverão contar com a participação de servidores em exercício na área de segurança da informação.
Art. 12. No ambiente informatizado da SRF, devem ser utilizados e instalados somente softwares homologados pela Cotec.
Parágrafo único. O disposto no caput não se aplica aos ambientes de prospecção, testes e homologação.
Art. 13. Os softwares instalados nos equipamentos servidores, nos equipamentos de rede e comunicação e nas estações de trabalho devem ser permanentemente atualizados, visando incrementar aspectos de segurança e corrigir falhas.
Art. 14. Os ativos de informação devem ser inventariados periodicamente por servidores em exercício na área de tecnologia da informação, em relação aos aspectos atinentes a hardware, software e configurações.
Art. 15. A eliminação de informação protegida por sigilo fiscal ou de uso exclusivo da SRF e de softwares instalados, constantes em dispositivos de armazenamento, deve ser procedida mediante a utilização de ferramentas adequadas à eliminação segura dos dados, quando:
II - houver alteração das atividades desempenhadas pelo servidor e o conteúdo armazenado for prescindível às novas atividades;
Parágrafo único. Na hipótese prevista no inciso IV do caput, o dispositivo de armazenamento deverá ser destruído se as informações nele contidas não puderem ser eliminadas.
Art. 16. Devem ser adotadas medidas adicionais de proteção, visando garantir o mesmo nível de segurança das instalações internas da SRF, no caso de:
Art. 17. O tráfego de informações em redes locais e de longa distância deve ser protegido contra danos, perdas, indisponibilidades, uso ou exposição indevidos, de acordo com seu valor, criticidade e confidencialidade.
§ 1º O tráfego de dados deve ser efetuado por meio de canais privativos, sejam eles físicos ou virtuais, que provejam criptografia e autenticação.
Art. 19. A Cotec editará e manterá atualizado Manual de Procedimentos de Segurança, que servirá de referência para certificação de conformidade dos ambientes gerenciados pela SRF e pelos prestadores de serviços, devendo abranger, dentre outros, os seguintes aspectos:
II - configuração dos equipamentos servidores, de rede e de comunicações, bem assim das estações de trabalho;
Art. 20. É responsabilidade de todos os servidores cuidar da integridade, confidencialidade e disponibilidade dos ativos de informação da SRF.
Parágrafo único. O servidor deve comunicar por escrito quaisquer irregularidades, falhas ou desvios identificados à chefia imediata e à área responsável pela segurança da informação da sua unidade da SRF.
Art. 21. É proibida a exploração de falhas ou vulnerabilidades porventura existentes nos ativos de informação da SRF.
Parágrafo único. A Cotec poderá autorizar testes controlados para identificar a existência de falhas ou vulnerabilidades nos ativos de informação da SRF.
II - definir os agentes intervenientes, bem assim as respectivas atribuições, necessários para garantir o fiel cumprimento desta Portaria;
IV - realizar, periodicamente, auditoria de segurança e análise de risco e vulnerabilidades nos ambientes operacionais e nos sistemas de informação localizados nos prestadores de serviços e nas próprias instalações nas unidades da SRF; e
Art. 23. O descumprimento das disposições constantes nesta Portaria e demais normas sobre segurança da informação caracteriza infração funcional, a ser apurada em processo administrativo disciplinar, sem prejuízo das responsabilidades penal e civil.
Art. 24. Os contratos de prestação de serviços e convênios celebrados pela SRF devem contemplar, quando aplicáveis, as normas de segurança instituídas por esta Portaria e demais normas relativas à segurança da informação.
Art. 25. A Cotec editará, no prazo de trinta dias contados desta data, normas complementares ao disposto nesta Portaria.
*Este texto não substitui o publicado oficialmente.