2.0 - PODERES DELEGADOS
Estabelecer e difundir o Modelo de Gestão do Sistema de Segurança da Informação e Comunicações no âmbito da Fiocruz, inclusive em seus Institutos, visando a implementação, operação, monitoramento, análise crítica, manutenção e melhoria contínua da Segurança da Informação e Comunicações na Instituição.
3.0 - CONCEITOS E DEFINIÇÕES
Autenticidade: propriedade de que a informação foi produzida, expedida, modificada ou destruída por uma determinada pessoa física, ou por determinado sistema, órgão ou entidade.
Confidencialidade: propriedade de que a informação não esteja disponível ou revelada à pessoa física, sistema, órgão ou entidade não autorizado e credenciado;
Disponibilidade: propriedade de que a informação esteja acessível e utilizável sob demanda por uma pessoa física ou determinado sistema, órgão ou entidade;
Integridade: propriedade de que a informação não foi modificada ou destruída de maneira não autorizada ou acidental;
Quebra de segurança: ação ou omissão, intencional ou acidental, que resulta no comprometimento da segurança da informação e comunicações.
Segurança da Informação e Comunicações: ações que objetivam viabilizar e assegurar a disponibilidade, a integridade, confidencialidade e autenticidade das informações.
Sistema de Segurança da Informação: parte do sistema de gestão global, baseado na abordagem de riscos do negócio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação.
4.0 - REFERÊNCIAS LEGAIS E NORMATIVAS - NBR ISO/IEC 27001:2006 - Tecnologia da Informação - Técnicas de segurança - Sistemas de Gestão de Segurança da Informação - Requisitos. - Instrução Normativa nº 01/IN01/DSIC/GSIPR, de 13 de junho de 2008, que disciplina a Gestão de Segurança da Informação e Comunicações na Administração Pública Federal, direta e indireta.
5.0 - MODELO DE GESTÃO DO SISTEMA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES
O Modelo de Gestão do Sistema de Segurança da Informação e Comunicações tem seus processos estruturados segundo o ciclo PDCA (Plan - Do - Check - Act) e conta com alguns processos essenciais para a gestão da segurança da informação:
a) Planejamento da Segurança da Informação a partir do entendimento dos requisitos de segurança da informação e comunicações da Fiocruz e da necessidade de estabelecer uma política e objetivos para a segurança da informação; b) Implementação e operação de controles para gerenciar os riscos de segurança da informação, no contexto de negócios da organização; c) Monitoração e análise crítica do desempenho e eficácia do modelo de gestão; d) Melhoria contínua baseada em medições objetivas.
Processos de gestão da segurança da informação aplicado ao modelo PDCA:
6.0 - RESPONSABILIDADES Para a operacionalização da Segurança da Informação e Comunicações são necessários diversos atores, cada qual com atribuições definidas conforme abaixo:
Responsável Atividades Presidência - Instituir Comitê de Segurança da Informação e Comunicações. - Aprovar as diretrizes e normas institucionais da Política de Segurança da Informação e comunicações. - Remeter, através da Audin, os resultados consolidados dos trabalhos de auditoria de Gestão de Segurança da Informação e Comunicações para o Gabinete de Segurança Institucional da Presidência da República. Comitê de Segurança da Informação e Comunicações (nível institucional) - Assessorar a CGTI na implementação das ações de segurança da informação e comunicações; - Constituir grupos de trabalho para tratar de temas e propor soluções específicas sobre segurança da informação e comunicações; - Propor normas e procedimentos internos relativos à segurança da informação e comunicações, em conformidade com as legislações existentes sobre o tema. Subcomitê de Segurança da Informação e Comunicações (nível da unidade) - Elaborar normas de segurança da informação e comunicações específicas da Unidade (em consonância com as diretrizes institucionais da Política de Segurança da Informação). - Propor recursos necessários às ações de segurança da informação e comunicações em nível local. - Receber sugestões de melhorias ou denúncias de quebra de segurança, que deverão se averiguadas. Gestor de Segurança da Informação e Comunicações - Promover cultura de segurança da informação e comunicações; - Acompanhar as investigações e as avaliações dos danos decorrentes de quebras de segurança; - Propor recursos necessários às ações de segurança da informação e comunicações; - Coordenar o Comitê de Segurança da Informação e Comunicações e a Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais; - Realizar e acompanhar estudos de novas tecnologias, quanto a possíveis impactos na segurança da informação e comunicações; - Manter contato permanente e estreito com o Departamento de Segurança da Informação e Comunicações do Gabinete de Segurança Institucional da Presidência da República para o trato de assuntos relativos à segurança da informação e comunicações;
Gestor de Segurança da Informação e Comunicações - Propor Normas e procedimentos relativos à segurança da informação e comunicações no âmbito da Fiocruz. Unidade - Instituir subcomitês de segurança da informação e comunicações nas Unidades; - Aplicar as ações corretivas e disciplinares cabíveis nos casos de quebra de segurança.
7.0 - FORMA E OPERAÇÃO A Gestão do Sistema de Segurança da Informação e Comunicações se dará através da CGTI, responsável pela interlocução entre a Vice-Presidência de Gestão e Desenvolvimento Institucional e o Comitê de Segurança da Informação e Comunicações. O Comitê será presidido pelo Gestor de Segurança da Informação e Comunicações da CGTI e composto por mais 08 (oito) membros, sendo: - Sete representantes oriundos das Unidades da Fiocruz; - Um representante da Audin. As vagas da Audin e CGTI serão permanentes. As outras sete vagas serão definidas através de indicação pactuada na Câmara de Gestão e Desenvolvimento Institucional da Presidência. O mandato será de dois anos, sendo que na composição inicial do Comitê serão destinadas quatro vagas com mandato de dois anos e outras três com mandato de um ano. A cada ano serão indicados novos representantes para substituição alternada de três e quatro membros, priorizando as Unidades que ainda não participaram do Comitê. Desta forma será possível renovar o Comitê, sem prejuízo à continuidade dos trabalhos, e garantir a participação de todas as Unidades.
O Comitê de Segurança da Informação terá reuniões bimestrais, permitindo que os Subcomitês das Unidades tenham tempo hábil para o encaminhamento dos temas de foro institucional.
A definição da pauta e convocação do Comitê se dará através da CGTI, que em casos excepcionais poderá convocar reuniões extraordinárias.