SEI/UFU - 4216903

O REITOR DA UNIVERSIDADE FEDERAL DE UBERLÂNDIA, no uso das atribuições legais, e

CONSIDERANDO o Decreto nº 9.637, de 26 de dezembro de 2018, que institui a Política Nacional de Segurança da Informação (PNSI);

CONSIDERANDO o Decreto nº 10.222, de 5 de fevereiro de 2020, que aprova a Estratégia Nacional de Segurança Cibernética (E-Ciber);

CONSIDERANDO o Decreto nº 10.332, de 28 de abril de 2020, que institui a Estratégia de Governo Digital para o período de 2020 a 2022, no âmbito dos órgãos e das entidades da administração pública federal direta, autárquica e fundacional e dá outras providências;

CONSIDERANDO o Decreto Nº 10.641, de 2 de março de 2021, que altera o Decreto nº 9.637, de 26 de dezembro de 2018, que institui a Política Nacional de Segurança da Informação que dispõe sobre a governança da segurança da informação;

CONSIDERANDO a Instrução Normativa GSI/PR Nº 1, de 27 de maio de 2020, que dispõe sobre a Estrutura de Gestão da Segurança da Informação nos órgãos e nas entidades da administração pública federal;

CONSIDERANDO a Instrução Normativa GSI/PR nº 3, de 28 de maio de 2021, que dispõe sobre os processos relacionados à gestão de segurança da informação nos órgãos e nas entidades da administração pública federal;

CONSIDERANDO a aprovação da Política de Segurança da Informação e Comunicação (POSIC) da Universidade Federal de Uberlândia (UFU), pelo Comitê de Governança Digital (CGD) em 12 de dezembro de 2022;

Art. 1º Aprovar a Política de Segurança da Informação e Comunicação (POSIC) da Universidade Federal de Uberlândia (UFU), cujo inteiro teor se publica a seguir:

Art. 1º Fica instituída a Política de Segurança da Informação e Comunicação (POSIC) da Universidade Federal de Uberlândia (UFU), observados os princípios, objetivos e diretrizes estabelecidos neste documento, bem como as disposições constitucionais, legais e regimentais vigentes.

§ 1º A POSIC estabelece as orientações e diretrizes corporativas gerais de segurança e controle dos ativos de informação da UFU ou sob sua guarda, objetivando sua proteção e a prevenção de responsabilidade legal para todos os usuários.

§ 2º Integram também a POSIC normas gerais e específicas de segurança da informação e comunicação, bem como procedimentos complementares, destinados à proteção dos ativos de informação e à disciplina de sua utilização no âmbito da UFU.

Art. 2º A POSIC alinha-se às estratégias da UFU e tem por objetivo garantir os princípios de segurança da informação e comunicação, das informações produzidas ou custodiadas pela universidade, abrangendo aspectos físicos, tecnológicos e humanos da Universidade, buscando assegurar a confidencialidade, a integridade, a autenticidade, o não-repúdio e a disponibilidade dos dados e das informações tratadas, classificadas e sensíveis.

Art. 3º A estrutura da Segurança da Informação e Comunicação da UFU é integrada por três instrumentos normativos, de níveis hierárquicos distintos, relacionados a seguir:

I - Política de Segurança da Informação e Comunicação (POSIC): define a estrutura, as diretrizes e as obrigações referentes à segurança da informação e comunicação;

II - Normas de Segurança da Informação e Comunicação (NSIC): identificam obrigações e procedimentos em conformidade com as diretrizes da POSIC, a serem seguidas em todas as situações em que a informação é tratada; e

III - Procedimentos de Segurança da Informação e Comunicação: instrumentalizam os dispositivos, permitindo a direta aplicação nas atividades da UFU.

Art. 4º A POSIC e as normas de segurança da informação e comunicação devem ser divulgadas a todos os usuários da UFU.

Parágrafo único. Os procedimentos de segurança da informação e comunicação devem ser divulgados apenas nas áreas relacionadas à sua execução.

Art. 5º O escopo da Política de Segurança da Informação e Comunicação da UFU envolve aspectos estratégicos, estruturais, organizacionais e humanos, bem como elementos físicos e lógicos, preparando a base para elaboração dos demais documentos normativos.

Art. 6º A POSIC, suas normas e procedimentos se aplicam a todos os usuários que utilizam de alguma forma os ativos de informação da UFU, como discentes, docentes, técnicos administrativos, estagiários, bolsistas, empregados terceirizados, membros da sociedade civil (usuários externos) e quaisquer outros usuários. Os acordos de cooperação, contratos, convênios e demais instrumentos do mesmo gênero celebrados entre a UFU e órgãos públicos ou privados devem estar de acordo com o conteúdo desta POSIC.

Art.7º São termos e definições utilizados nesta Política de Segurança da Informação e Comunicação:

I - Acesso - ato de ingressar, transitar, conhecer ou consultar a informação, bem como possibilidade de usar os ativos de informação de um órgão ou entidade, observada eventual restrição que se aplique;

II - Ameaça - conjunto de fatores externos ou causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização;

IV - Ativo de rede - equipamento que centraliza, interliga, roteia, comuta, transmite ou concentra dados em uma rede de computadores;

V - Ativos de informação - os meios de armazenamento, transmissão e processamento da informação, os equipamentos necessários a isso, os sistemas utilizados para tal, os locais onde se encontram esses meios, e também os recursos humanos que a eles têm acesso;

VI - Ativos de software: aplicativos, sistemas, ferramentas de desenvolvimento e utilitários;

VII - Ativos físicos: equipamentos computacionais, equipamentos de comunicação, mídias removíveis e outros equipamentos;

VIII - Auditoria: processo de exame cuidadoso e sistemático das atividades desenvolvidas, cujo objetivo é averiguar se elas estão de acordo com as disposições planejadas e estabelecidas previamente, se foram implementadas com eficácia e se estão adequadas (em conformidade) à consecução dos objetivos;

IX - Comitê de Governança Digital (CGD) da Universidade Federal de Uberlândia (UFU) - delibera sobre os assuntos relativos à implementação das ações de governo digital e ao uso de recursos de tecnologia da informação e comunicação na UFU.

X - Comissão de Política de Segurança da Informação (COMPSI) do Comitê Governança Digital (CGD) da Universidade Federal de Uberlândia (UFU): responsável por elaborar e monitorar a Política de Segurança da Informação e Comunicação, bem como normas e procedimentos relacionados, propondo ao CGD, diretrizes, responsabilidades, competências e subsídios para a gestão da Segurança da Informação na UFU.

XI - Comunidade Acadêmica: entende-se por comunidade acadêmica o conjunto de docentes, técnico-administrativos, e discentes da UFU, incluindo, neste caso, qualquer usuário incluído por meio de contrato e convênios;

XII - Comunicação: transmissão, emissão ou recepção de dados ou informações de qualquer natureza por meios confinados, por radiofrequência ou por qualquer outro processo eletrônico ou eletromagnético ou ótico;

XIII - Custódia - consiste na responsabilidade de se guardar um ativo para terceiros. A custódia não permite automaticamente o acesso ao ativo e nem o direito de conceder acesso a outros;

XIV - Custodiante - aquele que, de alguma forma, total ou parcialmente, zela pelo armazenamento, operação, administração e preservação de um sistema estruturante - ou dos ativos de informação que compõem o sistema de informação - que não lhe pertence, mas que está sob sua custódia;

XV - Desastre - evento, ação ou omissão, repentino e não planejado, que tenha permitido acesso não autorizado, interrupção ou mudança nas operações (inclusive pela tomada de controle), destruição, dano, deleção ou mudança da informação protegida, remoção ou limitação de uso da informação protegida ou ainda a apropriação, disseminação e publicação indevida de informação protegida de algum ativo de informação crítico ou de alguma atividade crítica, causando perda para toda ou parte da organização e gerando sérios impactos em sua capacidade de entregar serviços essenciais ou críticos por um período de tempo superior ao tempo objetivo de recuperação;

XVI - Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais (ETIR) - grupo de pessoas com a responsabilidade de receber, analisar e responder às notificações e atividades relacionadas a incidentes de segurança em redes de computadores;

XVII - Gestão de conformidade - conjunto de medidas que asseguram que uma entidade está em conformidade com as normas vigentes, ou seja, se está cumprindo todas as obrigatoriedades dos órgãos de regulamentação, dentro de todas as políticas exigidas para a execução da sua atividade;

XVIII - Gestão de continuidade - processo abrangente de gestão que identifica ameaças potenciais para uma organização e os possíveis impactos nas operações de negócio, caso estas ameaças se concretizem. Esse processo fornece uma estrutura para que se desenvolva uma resiliência organizacional que seja capaz de responder efetivamente e salvaguardar os interesses das partes interessadas, a reputação, a marca da organização e suas atividades de valor agregado;

XIX - Gestão de riscos - processo de natureza permanente, estabelecido, direcionado e monitorado pela alta administração, que contempla as atividades de identificar, avaliar, e gerenciar potenciais eventos que possam afetar a organização, destinado a fornecer segurança razoável quanto à realização de seus objetivos;

XX - Gestão de segurança da informação - ações e métodos que visam à integração das atividades de gestão de riscos, à gestão de continuidade do negócio, ao tratamento de incidentes, ao tratamento da informação, à conformidade, ao credenciamento, à segurança cibernética, à segurança física, à segurança lógica, à segurança orgânica e à segurança organizacional aos processos institucionais estratégicos, operacionais e táticos, não se limitando, portanto, à tecnologia da informação e comunicação;

XXI - Gestor de segurança da informação - responsável pelas ações de Segurança da Informação (SI) no âmbito do órgão ou entidade da Administração Pública Federal (APF);

XXII - Incidente de segurança - qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança dos sistemas de computação ou das redes de computadores;

XXIII - Quebra de segurança - ação ou omissão, intencional ou acidental, que resulta no comprometimento da SI.

XXIV - Recursos de Tecnologia da Informação e Comunicação (RTIC): os equipamentos, instalações e recursos de informação direta ou indiretamente administrados, mantidos ou operados nas Unidades, tais como:

b) infraestrutura e materiais de redes lógicas e de telecomunicações de qualquer espécie; e

c) recursos de informação eletrônicos, tais como: serviços de rede, sistemas de informação, programas de computador, arquivos de configuração que são armazenados, executados e/ou transmitidos por meio da infraestrutura computacional da UFU, redes ou outros sistemas de informação;

XXV - Segurança da informação e comunicação - ações que objetivam viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações;

XXVI - Serviço de rede - processo de software que estabelece conexões de rede para fornecer armazenamento, manipulação, apresentação e/ou transmissão de dados ou outra capacidade;

XXVII - Sistema estruturante - sistema com suporte de Tecnologia da Informação e Comunicação (TIC) fundamental e imprescindível para o planejamento, coordenação, execução, descentralização, delegação de competência, controle ou auditoria das ações de Estado, além de outras atividades auxiliares, desde que comum a dois ou mais órgãos ou entidades da APF, direta ou indireta, e que necessitem de coordenação central;

XXVIII - Termo de responsabilidade - termo assinado pelo usuário concordando em contribuir com a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações a que tiver acesso, bem como assumir responsabilidades decorrentes de tal acesso;

XXIX - Usuário: pessoa física, seja discente, servidor ou equiparado, empregado ou prestador de serviços, habilitada pela administração para acessar os ativos de informação de um órgão ou entidade da APF, formalizada por meio da assinatura de Termo de Responsabilidade; e

XXX - Vulnerabilidade - conjunto de fatores internos ou causa potencial de um incidente indesejado, que podem resultar em risco para um sistema ou por uma organização, os quais podem ser evitados por uma ação interna de segurança da informação.

Art. 8º A POSIC da UFU é norteada pelos preceitos básicos da segurança da informação e comunicação, assim como pelos princípios básicos da administração pública:

I - Autenticidade: propriedade de que a informação foi produzida, expedida, modificada ou destruída por uma determinada pessoa física, ou por um determinado sistema, órgão ou entidade;

II - Celeridade: as ações de segurança da informação oferecem respostas rápidas a incidentes e falhas;

III - Ciência: todos os usuários da informação devem ter ciência das normas, procedimentos, orientações e outras informações que permitam a execução de suas atribuições sem comprometer a segurança;

IV - Clareza: as regras de segurança dos ativos de informação e comunicação são precisas, concisas e de fácil entendimento;

V - Confidencialidade: as informações somente estarão disponíveis ou reveladas à pessoa, sistema, órgão ou entidade autorizada e credenciada;

VI - Disponibilidade: as informações estarão disponíveis e utilizáveis a quem delas necessite e possua autorização para acessá-las;

VII - Equanimidade: as normas e regras de segurança da informação são obedecidas por todos, sem distinção de cargo ou função;

VIII - Ética: os direitos dos usuários são preservados sem comprometimento da segurança da informação e comunicação;

IX - Finalidade: as normas e regras de segurança da informação consideram a finalidade dos ativos e das informações a que se referirem;

X - Integridade: as informações não são modificadas ou destruídas de maneira não autorizada ou acidental;

XI - Menor privilégio: restringir o acesso às informações, ao estritamente necessário ao exercício das funções;

XII - Privacidade: informação que fira o respeito, a intimidade, a integridade e a honra dos cidadãos não podem ser divulgadas;

XIII - Proporcionalidade: o nível, a complexidade e os custos das ações de Segurança da Informação na UFU serão adequados ao entendimento administrativo e ao valor do ativo a proteger.

XIV - Publicidade: dar transparência no trato das informações, observado os critérios legais, e divulgar a todos os usuários as diretrizes e a normas de segurança da informação; e

XV - Responsabilidade: as responsabilidades iniciais e finais pela proteção de cada ativo e pelo cumprimento de processos de segurança devem ser claramente definidas. Todos os usuários da informação são responsáveis pelo cumprimento das Normas de Segurança da Informação e Comunicação advindas desta política;

Art. 9º São diretrizes gerais da Política de Segurança da Informação e Comunicação (POSIC) da UFU:

I - estar alinhada aos objetivos estratégicos, processos, requisitos legais e estrutura da UFU, bem como ao Plano Diretor de Tecnologia da Informação e Comunicação (PDTIC) e o Plano Institucional de Desenvolvimento e Expansão (PIDE);

II - estabelecer medidas e procedimentos para assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações;

III - observar as boas práticas e procedimentos de Segurança da Informação e Comunicação recomendados por órgãos e entidades responsáveis pelo estabelecimento de padrões.

Art. 10 As Diretrizes de Segurança da Informação e Comunicação definidas neste documento são aplicadas aos ativos de informação, físicos e de software e devem servir de orientação para instrumentos táticos e operacionais a serem observados pelos usuários.

Art. 11 É condição para acesso aos ativos de informação da UFU a adesão formal aos termos deste documento mediante assinatura de Termo de Responsabilidade.

Parágrafo Único. Os ativos de informação disponibilizados pela UFU serão utilizados estritamente para propósito institucional, sendo vedado a qualquer usuário da UFU o uso dos recursos de Tecnologia da Informação e Comunicação para fins pessoais (próprios ou de terceiros), entretenimento, veiculação de opiniões político-partidárias ou religiosas, bem como para perpetrar ações que, de qualquer modo, possam constranger, assediar, ofender, caluniar, ameaçar, violar direito autoral ou causar prejuízos a qualquer pessoa física ou jurídica, assim como aquelas que atentem contra a moral e a ética, ou que prejudiquem o cidadão ou a imagem da instituição, comprometendo a integridade, a confidencialidade, a confiabilidade, autenticidade ou a disponibilidade das informações.

Art. 12 É dever de todos os usuários da informação zelar pela Segurança da Informação e Comunicação.

Art. 13 A UFU, como usuária dos serviços providos pela Rede Nacional de Ensino e Pesquisa (RNP) é, por princípio, signatária de suas Políticas e Normas de Segurança.

Art. 14 As diretrizes de segurança da informação e comunicação estabelecidas nesta POSIC aplicam-se às informações armazenadas, acessadas, produzidas e transmitidas pela UFU, e devem ser seguidas pelos usuários, incumbindo a todos a responsabilidade e o comprometimento com sua aplicação.

Parágrafo Único. Independentemente da forma ou do meio pelo qual a informação seja apresentada ou compartilhada, deverá ser sempre protegida adequadamente, de acordo com esta Política.

Art. 15 Os contratos de prestação de serviços, firmados pela UFU conterão cláusula específica sobre a obrigatoriedade de atendimento às diretrizes desta POSIC, devendo, ainda, exigir da entidade contratada, a assinatura de Termo de Conﬁdencialidade.

Art. 16 Toda informação criada, manuseada, armazenada, transportada, descartada ou custodiada pela UFU é de sua responsabilidade, devendo ser classificada e protegida adequadamente, quanto aos aspectos de conﬁdencialidade, integridade, autenticidade e disponibilidade, de forma explícita ou implícita.

§ 1º Na cessão de bases de dados nominais, informação custodiada ou de propriedade da Universidade a terceiros, o gestor da área cedente deve providenciar a documentação formal relativa à cessão ou autorização de acesso às informações antes da sua disponibilização, indicando sua finalidade e consonância com legislação vigente, em especial a LGPD.

§ 2º Nos casos de obtenção de informações de terceiros, o gestor da área na qual a informação será utilizada deverá providenciar junto à concedente a documentação formal relativa à cessão de direitos sobre informações de terceiros antes de seu uso, indicando sua finalidade e consonância com legislação vigente, em especial a LGPD.

§ 3º Toda informação institucional, se eletrônica, deve ser armazenada nos servidores de arquivo e bases de dados sob gestão e administração da área de TIC e, se não eletrônica, mantida em local que a salvaguarde adequadamente.

§ 4º Toda informação institucional, sob a forma eletrônica, deve ser salvaguardada por meio de cópia de segurança sob administração da área de TIC e mantida em local que a proteja adequadamente e garanta sua recuperação em caso de perda da informação original.

§ 5º O descarte de informações institucionais deve observar as políticas, as normas, os procedimentos internos, e a classificação que a informação possui, bem como a temporalidade prevista na legislação.

§ 6º As informações classificadas conforme a legislação vigente, produzidas, armazenadas e transportadas em meios eletrônicos, devem utilizar a criptografia compatível com o grau de sigilo, em especial as informações de autenticação dos usuários das aplicações.

Art. 17 Equipamentos particulares e/ou privados, como computadores ou quaisquer dispositivos que possam armazenar e/ou processar dados, não devem ser usados para armazenar e/ou processar informações que sejam classificadas como sensíveis para a atividade da UFU, sem prévia autorização expressa do custodiante dos dados ou do Diretor da Unidade.

Art. 18 A UFU manterá permanentemente um núcleo de tratamento e resposta a incidentes de segurança da informação e comunicação com a responsabilidade de receber, filtrar, classificar e responder às solicitações e alertas, além de realizar as análises dos incidentes de segurança, procurando extrair informações que permitam impedir a continuidade da ação maliciosa.

Art. 19 A UFU constituirá Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais – ETIR.

Parágrafo Único. A ETIR será instituída por Portaria normativa expedida pelo Reitor.

Art. 20 Cabe ao CTIC a responsabilidade pela infraestrutura necessária para fins de registro e resposta aos incidentes de segurança da informação no âmbito da UFU.

Parágrafo Único. Todo usuário é responsável por notificar, imediatamente, incidentes que afetem a segurança da informação por meio de recursos de TIC ou o descumprimento da POSIC à ETIR, para que as providências necessárias sejam adotadas a fim de sanar as causas.

Art. 21 Para os sistemas de missão crítica, deverão ser contratados serviços ou utilizados equipamentos que disponham de recursos de redundância de processamento, de armazenamento de dados e de sistemas elétricos, entre outros, bem como, controle de corrente elétrica (rede estabilizada), temperatura, umidade e acesso físico restrito.

Parágrafo único. Cabe à COMPSI classificar os sistemas de missão crítica e a sua definição de proteção, considerando a criticidade das informações e os ativos de informação envolvidos nesses sistemas.

Art. 22 Os servidores computacionais, onde se encontram os sistemas de missão crítica, devem estar em sala segura contra problemas de segurança física (condições ambientais adversas, desastres naturais, incêndios e acesso indevido, entre outros.

Parágrafo único. Cabe ao CTIC a definição de dispositivos ou serviços de proteção, considerando a criticidade das informações e dos ativos de informação envolvidos, e que estejam sob sua responsabilidade.

Art. 23 A UFU deverá manter soluções de proteção contra problemas de segurança lógica (vírus, acesso não autorizado e invasões, entre outros, cabendo ao CTIC a definição de tais soluções de proteção, considerando a criticidade dos ativos de informação envolvidos e que estejam sob sua responsabilidade.

Art. 24 Caberá ao CTIC a definição dos procedimentos de segurança para a implantação, manutenção, atualização, desinstalação e recuperação de softwares, sistemas operacionais e bases de dados, de forma a garantir que estes ambientes lógicos da UFU não tragam vulnerabilidades que comprometam a segurança da informação

Art. 25 A ETIR deve assegurar que todos os sistemas de informação sob a responsabilidade do CTIC sejam aderentes às seguintes diretrizes:

I - Segregação de ambientes lógicos, de maneira que o ambiente de produção fique apartado dos demais;

II - Os ambientes de produção somente poderão ser acessados por usuários internos responsáveis pela implantação dos sistemas de informação;

III - O acesso às bases de dados dos ambientes de produção será feito, sempre que possível, por meio dos sistemas de informação, ou, não sendo possível, o acesso deverá ser feito por um membro da equipe responsável pela base de dados com autorização de um usuário interno com nível gerencial da área controladora. O acesso direto deverá ser registrado em meio que permita a identificação do que foi modificado e quem foi responsável pela modificação;

IV - Os sistemas de informação que forem transferidos para o ambiente de produção deverão ter seu código-fonte original mantido por um sistema de gerenciamento de repositórios de código-fonte interno;

V - O código-fonte dos sistemas de informação sob domínio do CTIC deverão ser gerenciados por ferramenta específica de controle de versão. O acesso à ferramenta deverá ser restrito através de perfis de acesso específicos e registrados em trilhas de auditoria. O controle de versão deve permitir a identificação do responsável pela inclusão/exclusão/alteração do código-fonte, assim como a recuperação de versões recentes;

VI - O ambiente do sistema computacional destinado à execução dos sistemas e o ambiente de produção não devem ser utilizados para testes. Os testes devem ser feitos em ambiente apropriado e gerenciado; e

VII - A passagem de programas e dados para o ambiente de produção deve ser controlada de maneira a garantir a integridade e disponibilidade desse ambiente para sua execução.

Art. 26 Os ativos deverão ser inventariados, classificados e documentados e sua documentação mantida atualizada, devendo ser revista sempre que ocorrerem fatos que justifiquem sua atualização.

Parágrafo Único. A documentação dos ativos deverá fornecer subsídios para a sua recuperação após um desastre.

Art. 27 Os ativos de um setor deverão ser de responsabilidade do seu gestor, ou de alguém por ele designado, que ficará encarregado pela sua manutenção e documentação, bem como pela notificação de qualquer evento que aconteça a ele.

Art. 28 A instituição deverá adotar as medidas necessárias para que os responsáveis pelos ativos possam geri-los adequadamente, cabendo ao gestor do ativo solicitar os recursos necessários para tal.

Art. 29 As informações existentes no âmbito da UFU apresentam diferentes níveis de confidencialidade e devem ser classificadas de acordo com a legislação vigente.

Art. 30 Normas complementares estabelecerão procedimentos que visem garantir a integridade, a confidencialidade e a disponibilidade das informações, incluindo procedimentos para a criação, manutenção e verificação dos ativos de informação e de suas cópias de segurança.

Art. 31 Os ativos de informação armazenados nos equipamentos utilizados pelos usuários (computadores, dispositivos móveis, e dispositivos de armazenamento externo, entre outros) são de sua responsabilidade, cabendo aos mesmos adotar as medidas necessárias para realizar as cópias de segurança desses ativos e proceder à sua recuperação em caso de perda.

Art. 32 A utilização de ativos de software em equipamentos da instituição deve ser previamente autorizada pelo CTIC.

Art. 33 É vedada a utilização e/ou instalação de software que possa de qualquer forma ferir esta política de segurança, bem como direitos autorais, de propriedade intelectual ou quaisquer legislações vigentes.

Art. 34 O serviço de correio eletrônico institucional deve ser usado exclusivamente para atividades acadêmicas e administrativas no âmbito da UFU.

Art. 35 O usuário deve utilizar a sua conta de correio eletrônico em conformidade com a legislação vigente, as regras de civilidade e ética pública.

Parágrafo único. O e-mail não deverá ser usado para a prática de atos ilícitos – proibidos pela lei ou pela presente diretriz ou normas complementares que venham a ser editadas – lesivos aos direitos e interesses da UFU ou de terceiros, ou que, de qualquer forma, possam danificar, inutilizar, sobrecarregar ou deteriorar os ativos de informação, bem como os documentos e arquivos de qualquer tipo, de seu uso ou de uso de terceiros.

Art. 36 O acesso à Internet no âmbito da UFU é fornecido para fins diretos e complementares às atividades da instituição, sendo, portanto, passível de registro e auditoria.

Parágrafo Único. As regras de acesso e utilização são definidas por normas específicas, em conformidade com a POSIC e demais orientações e diretrizes relacionadas.

Art. 37 Os serviços e servidores computacionais da instituição, tais como os de páginas de Internet, correio eletrônico, sistemas administrativos e sistemas acadêmicos, deverão ser configurados para usar tecnologias de autenticação e criptografia visando garantir a integridade, o sigilo e a autenticidade das informações.

Art. 38 Caberá ao CTIC definir e colocar em prática as medidas necessárias para preservar a segurança dos serviços e servidores computacionais da instituição que estiverem sob sua responsabilidade, de forma a não comprometer a segurança das redes internas e externas à instituição.

Art. 39 Perfis de redes sociais, sites e portais específicos, pertencentes a alguma das unidades organizacionais e acadêmicas da UFU, devem ser criados, atualizados e descontinuados de acordo com normas específicas definidas pela instituição, em consonância com esta POSIC e legislação relacionada.

Art. 40 O conteúdo acessado ou publicado não pode possuir elementos que possam ser considerados ofensivos, destrutivos, difamatórios ou pejorativos, incluindo, mas não limitado a comentários ou imagens sexuais, calúnias raciais, ou outros comentários/imagens que possam ofender alguém por sua raça, classe social, nacionalidade, gênero, orientação sexual, crença religiosa, orientação política ou condição de deficiência.

Art. 41 Não é permitida a utilização de conteúdos de terceiros, sujeitos às leis de direito autoral ou classificados como segredo, sem autorização escrita, em qualquer tipo de publicação on-line pertencente a alguma das unidades organizacionais e acadêmicas da UFU.

Art. 42 O ambiente de computação em nuvem, sua infraestrutura e canal de comunicação devem estar aderentes às diretrizes e normas estabelecidas pela instituição e às legislações vigentes.

Art. 43 O contrato de prestação de serviço, quando for o caso, deverá conter cláusulas que garantam a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações hospedadas na nuvem, em especial aquelas sob custódia e gerenciamento do prestador de serviço.

Art. 44 O armazenamento de informação em nuvem deverá estar respaldado por um contrato entre a UFU e o provedor de serviço em nuvem, de modo a garantir a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações hospedadas na nuvem.

Art. 45 Usuários dos recursos de TIC terão uma conta de acesso, denominada IdUFU (Identidade UFU), única e intransferível, cuja concessão de acesso será regulamentada em norma específica.

Art. 46 A chefia imediata do usuário é responsável pela solicitação de concessão e revogação dos privilégios de acesso às informações, considerando sempre o princípio do menor privilégio.

Art. 47 A identificação do agente público, qualquer que seja o meio e a forma, é pessoal e intransferível, e permite o reconhecimento de maneira inequívoca.

Art. 48 Um Plano de Gestão de Riscos deve ser elaborado pela ETIR e mantido pela UFU, com base na legislação vigente, contendo necessariamente uma lista das ameaças mais prováveis e suas ocorrências, uma classificação dos riscos e alternativas para mitigá-los.

Art. 49 Faz-se necessária a adoção de um conjunto de procedimentos emergenciais, através da definição de um Sistema de Gestão de Continuidade de Negócios (SGCN), para a eventualidade da ocorrência de algum incidente de segurança da informação que possa causar interrupção na continuidade de processos organizacionais para a UFU, decorrentes de desastres ou falhas em recursos de Tecnologia da Informação e Comunicação.

Art. 50 Todos os ativos de informação, ativos de software, ativos físicos e serviços de rede no âmbito da UFU são passíveis de auditoria técnica a cargo do CTIC, segundo plano a ser estabelecido em norma específica.

Parágrafo único. Cabe ao CGD aprovar o Plano de Auditoria e Conformidade que deverá incluir métodos, técnicas, procedimentos, normas e responsabilidades para o efetivo cumprimento do estabelecido por esta POSIC.

Art. 51 O CTIC é o órgão responsável pela definição e validação dos requisitos de segurança que softwares institucionais devem atender.

Art. 52 Deverão ser definidos os requisitos de segurança para aplicação no início de qualquer projeto de desenvolvimento ou aquisição de software.

Art. 53 Deverá ser definida a execução de testes pelo setor desenvolvedor do software, e homologação pelo CTIC, antes da instalação do software em ambiente de produção.

§ 1º Deverá ser realizado teste de mesa do software desenvolvido por terceiros.

§ 2º O tratamento das vulnerabilidades constitui um dos requisitos para a aceitação do sistema.

Art. 54 Os equipamentos servidores de rede, bem como todo e qualquer outro ativo de informação que assim o permita, devem ser configurados para armazenar registros históricos de eventos (Logs) em formato que permita a completa identificação dos fluxos de dados e das operações de seus administradores.

Art. 55 Os registros devem ser armazenados pelo período mínimo de 6 (seis) meses, sem prejuízo de outros prazos previstos em normativos específicos.

Art. 56 Os ativos de informação devem ser configurados de forma a armazenar seus registros de auditoria não apenas localmente, como também remotamente, por meio de tecnologia aplicável.

Art. 57 O acesso aos registros históricos de eventos (Logs) deve ser controlado, garantindo que os usuários e administradores que realizem alterações nos ativos de informação sejam incapazes de realizar alterações nos registros de eventos relacionados.

Art. 58 A estrutura para a Gestão de Segurança da Informação e Comunicação na UFU é composta por:

III - Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais (ETIR).

Art. 59 A COMPSI é a responsável pela elaboração de Políticas, Normas e Procedimentos Institucionais que se façam necessárias para a garantia da segurança e mitigação de riscos ao ambiente de Tecnologia da Informação e Comunicações da UFU.

Art. 60 A COMPSI é instituída por Portaria Normativa expedida pelo Reitor da UFU.

I - Definir o escopo e os limites da Segurança da Informação e Comunicação na UFU;

II - Assessorar na implementação das ações de Segurança da Informação e Comunicação;

III - Constituir grupos de trabalho para tratar de temas e propor soluções específicas sobre Segurança da Informação e Comunicação;

IV - Propor a Política de Segurança da Informação e Comunicação (POSIC) e suas alterações;

VI - Propor investimentos e definir a ordem de prioridade de execução dos projetos e aplicação dos recursos necessários ao cumprimento da POSIC;

VII - Monitorar a aplicação dos recursos para a Segurança da Informação e Comunicação;

VIII - Propor prioridade em assuntos relacionados à Segurança da Informação e Comunicação; e

IX - Acolher e analisar as demandas quanto à Segurança da Informação e Comunicação.

Art. 62 O Gestor de Segurança da Informação e Comunicação será indicado pelo Diretor do Centro de Tecnologia da Informação Comunicação (CTIC) da UFU e será designado pelo Reitor.

II - Monitorar, em conjunto com o Agente Responsável, as operações da Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais (ETIR);

III - Acompanhar as investigações e as avaliações dos danos decorrentes de quebras de Segurança da Informação e Comunicação;

IV - Propor recursos necessários às ações de Segurança da Informação e Comunicação;

V - Propor e acompanhar estudos de novas tecnologias, quanto a possíveis impactos na Segurança da Informação e Comunicação;

VI - Manter, sistematicamente, contato direto com o diretor do CTIC para o trato de assuntos relativos à Segurança da Informação e Comunicação;

Seção III
Da Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais (ETIR)

IX - Apoiar na definição de políticas e normas de segurança da informação e comunicação na Universidade.

II - Comunicar oportunamente à COMPSI sobre situações que comprometam a segurança das informações sob sua custódia;

III - Comunicar à COMPSI eventuais limitações para cumprimento dos critérios definidos para segurança da informação; e

Art. 66 São responsabilidades dos dirigentes e demais chefias das unidades da UFU no que se refere à segurança da informação:

I - Conscientizar os usuários sob sua supervisão em relação aos conceitos e às práticas de segurança da informação;

II - Incorporar aos processos de trabalho de sua unidade, ou de sua área, práticas inerentes à segurança da informação;

III - Tomar as medidas administrativas necessárias para que sejam aplicadas ações corretivas nos casos de comprometimento da segurança da informação por parte dos usuários sob sua supervisão;

V - Tomar as providências cabíveis quando da comunicação conclusiva do incidente encaminhada pela COMPSI.

II - Responsabilizar-se por todo e qualquer acesso aos ativos de informação da UFU, bem como pelos efeitos desse acesso, realizado por meio de seu código de identificação;

III - Comunicar o mais breve possível os incidentes de segurança da informação, por ele conhecido, ao setor responsável; e

IV - Colaborar com as investigações de incidentes, envolvendo direta ou indiretamente sua área.

Art. 68 Nos editais de licitação, contratos ou acordos de cooperação técnica com entidades prestadoras de serviços para UFU, deverá constar cláusula específica sobre a obrigatoriedade de atendimento às diretrizes desta POSIC.

Art. 69 Atos ou ações que violem o disposto na POSIC ou em quaisquer de suas normas e/ou procedimentos complementares, ou que prejudiquem os controles de segurança da informação, no âmbito da UFU, serão apuradas mediante instauração de processo administrativo disciplinar.

Parágrafo único. Os responsáveis por prejuízos ou irregularidades mencionados no caput deste artigo responderão administrativa, civil e/ou penalmente pelos seus atos.

Art. 70 A POSIC, assim como normas e procedimentos a ela vinculadas, deverá ser revisada e atualizada a cada dois (2) anos, a contar da sua vigência ou quando identificada a necessidade pelo COMPSI e/ou CGD.

Parágrafo único. A periodicidade para a revisão da POSIC não deve exceder 4 (quatro) anos.

Art. 71 Os casos omissos e as dúvidas decorrentes da aplicação do disposto nesta POSIC, devem ser direcionados à COMPSI, com a interveniência do CGD."

Documento assinado eletronicamente por Valder Steffen Junior, Reitor(a), em 26/01/2023, às 08:43, conforme horário oficial de Brasília, com fundamento no art. 6º, § 1º, do Decreto nº 8.539, de 8 de outubro de 2015.

A autenticidade deste documento pode ser conferida no site https://www.sei.ufu.br/sei/controlador_externo.php?acao=documento_conferir&id_orgao_acesso_externo=0, informando o código verificador 4216903 e o código CRC D4CA54AC.

Eu, ______________________________________________, usuário (a) dos ativos de informação da Universidade Federal de Uberlândia, portador (a) da Matrícula/SIAPE __________________, RG __________________, CPF__________________, residente e domiciliado(a) na ________________________________________________________________________, cidade de _____________________________ /_____________, CEP___________________, declaro estar ciente do disposto na Política de Segurança da Informação e Comunicações – POSIC, publicada eletronicamente, na Portaria REITO Nº 357, de 25 de janeiro de 2023, bem como nas normas e procedimentos complementares ali presentes, e comprometo-me a cumprir todas as suas determinações, bem como a manter-me periodicamente atualizado (a) a respeito de eventuais modificações que estes documentos possam sofrer. Estou ciente que o descumprimento deste termo poderá acarretar medidas administrativas, bem como em responsabilização administrativa, civil e criminal, quando aplicável.