|
CASA CIVIL
INSTITUTO NACIONAL DE TECNOLOGIA DA INFORMAÇÃO
PORTARIA
Nº 25, DE 15 DE MAIO DE 2012
Publicada
no DOU de 16/05/2012
O DIRETOR PRESIDENTE DO INSTITUTO
NACIONAL DE TECNOLOGIA DA INFORMAÇÃO, AUTARQUIA VINCULADA À
CASA CIVIL DA PRESIDÊNCIA DA REPÚBLICA, no uso de suas atribuições,
tendo em vista o disposto no art.
24 da Lei nº 12.527, de 18 novembro de 2011,
CONSIDERANDO que é dever dos órgãos e entidades do
poder público assegurar a gestão transparente da informação,
propiciando amplo acesso a ela e sua divulgação;
CONSIDERANDO que o direito fundamental de acesso à informação
deve ser executado em conformidade com os princípios básicos
da administração;
CONSIDERANDO que é dever do Estado controlar o acesso e a divulgação
de informações sigilosas produzidas por seus órgãos
e entidades, assegurando a sua proteção;
RESOLVE:
classificar as informações contidas nesta Portaria, observado
o seu teor e em razão de sua imprescindibilidade à segurança
da sociedade ou do Estado, nos seguintes termos:
Art. 1º Classificar como secretos os documentos elencados no Anexo 1 desta Portaria.
Art. 2º Esta Portaria entra em vigor na data de sua publicação.
RENATO DA SILVEIRA MARTINI
Documentos
Secretos Papéis de Trabalho/Auditoria; Relatórios/Auditoria;
Conceitos de Risco/ Auditoria; Pareceres/Auditoria; Relação
das pessoas que serão detentores partições de recursos
criptográficos da AC, com respectivos termos de designação
para a função; Relação das necessidades de acesso
físico e lógico para cada cargo; Relação de pessoas
que possuem acesso às chaves ou componentes de chaves criptográficas
da AC com sua respectiva designação formal e atribuição
de responsabilidades; Relação do pessoal contratado para a AC/cargo
desempenhado e a respectiva documentação; Termos de Designação
de Gestor ou Responsável pelos Ativos da AC (ativos de informação
e de processamento); Termos de Responsabilidade sobre a segurança
física da AC; Termos de responsabilidade contendo descrição
dos recursos que os funcionários e detentores de chaves ou componentes
de chaves criptográficas deverão devolver à AC no ato
de seu desligamento; Inventário dos ativos de processamento da AC
e da AR contendo nº do patrimônio, localização física,
atividade a ser desenvolvida e agente responsável pela utilização;
Inventário de cartões/ chaves de acesso às dependências
e recursos da AC (em uso ou no cofre); Relação das pessoas
autorizadas a ter acesso aos componentes da Infraestrutura da AC (painéis
de controle de energia, comunicações, cabeamento etc.); Documentação
dos sistemas e dispositivos redundantes que estão disponíveis
para garantir a continuidade da operação dos serviços
críticos (elétrico, geradores, nobreak, ar condicionado etc.);
Documentação dos sistemas que provêm segurança
física (alarmes, monitoramento por câmaras de vídeo,
proteção contra incêndio e detecção de
fumaça, sistemas de controle de acesso físico); Documentação
dos Equipamentos de Emergência; Planta baixa da área construída;
Topologia das redes de cabos lógicos e elétricos; Documentação
técnica da construção de segurança de nível
1, 2, 3, 4, 5 e 6; Relação dos procedimentos e ferramentas
usados para controle do envio de equipamentos para manutenção
e para controle de entrada e saída de indivíduos em ambiente
de nível 3 e 4; Relação dos usuários cadastrados
para acesso ao sistema operacional (/etc/passwd); Relação dos
recursos da AC que possuem controle de acesso lógico e relação
dos procedimentos e ferramentas usados para esse controle; Relação
dos funcionários que possuem acesso lógico aos recursos da AC
relacionados no item anterior; Relação dos procedimentos e
ferramentas que serão usados para detectar e responder a violações
de segurança; Sistemas e arquivos da AC sujeitos a backup; Relação
dos procedimentos e ferramentas usados para realização de backup
dos sistemas e arquivos relacionados no item anterior, e dos controles estabelecidos
para guarda das mídias geradas; Relação dos sistemas
da AC do qual serão extraídos logs, respectiva periodicidade
de extração e forma de guarda dos arquivos gerados; Planilha
relacionando os eventos de guarda obrigatórios, definidos no item 4.5.1
da DPC, e os arquivos de log citados no item anterio; Formato dos arquivos
de log e descrição dos campos relevantes; Procedimentos previstos
para análise dos logs (relatórios ou planilhas elaborados pelo
responsável pela atividade) e das ações tomadas em decorrência,
no caso de constatação de irregularidades; Relação
dos softwares autorizados a estarem instalados nos servidores, estações
de trabalho, notebooks e demais equipamentos da AC, com a respectiva versão;
Documentação evidenciando que a versão dos softwares
utilizados está de acordo com a recomendações dos fabricante;
Procedimentos previstos para realização de auditorias internas
nos equipamentos e/ou outras providências adotadas para evitar a utilização
de softwares não autorizados nos equipamentos da AC relacionados no
Inventário de Ativos; Procedimentos previstos para registrar as mudanças
de configuração nos sistemas (aplicação de patches,
instalação de novas versões, alteração
de parâmetros do sistema, etc.); Relação dos arquivos/diretórios
dos servidores da AC cuja integridade seja verificada periodicamente; Relação
dos procedimentos e ferramentas que serão usados para verificação
periódica de integridade dos arquivos/diretórios relacionados
no item anterior; Diagrama topológico atualizado da rede interna e
das ligações com redes externas, evidenciando também,
caso existam, pontos de conexão para acesso remoto; Relação
dos equipamentos, procedimentos e ferramentas usados para prover segurança
à rede da AC; Política de segurança aplicada nos equipamentos
e ferramentas listados no item anterior (política de senhas, login
local/remoto e outros parâmetros de segurança); Relação
dos procedimentos e ferramentas que serão usados para publicação
da LCR da AC na periodicidade adequada; Análise de Risco com documentação
que comprove a participação/conhecimento da alta administração;
Plano de Continuidade de Negócios; Plano de Extinção;
Procedimentos e scripts de instalação usados para criação
da AC; Relação dos procedimentos e ferramentas que serão
utilizados para geração, guarda, manuseio e destruição
da chave da AC; Manuais contendo procedimentos executados na AC; Documentação
técnica dos seguintes sistemas e equipamentos; Documentos gerados pela
entidade auditada em tempo de auditoria; Transações (Logs);
Sistema (Logs); Segurança (Logs); Imagens de Vídeo (CFTV); Registros
de Entrada e Saída de Controle de Acesso; Registro de Alarmes e Eventos
Diversas; Registros Telefônicos; Análise de Risco; Avaliação
de Risco; Manual de Segurança Patrimonial; Manual de Administração
da Autoridade Certificadora; Manual de Administração da Segurança;
Manual de Administração do Sistema de Gestão de Certificados
(SGC); Manual de Administração de Banco de Dados; Plano de
Continuidade de Negócios; Plano de Recuperação de Desastre;
Plano de Contingência; Plano de Ação de Resposta a Incidente;
Plano de Gerência de Configuração e Mudança; Termo
de Admissão; Termo de Desligamento; Termos de Responsabilidade de
detentores de CIK; Plano de Treinamento; Manual de Auditoria Interna; Scripts/roteiros
de operação; Diagramas da Rede de Computadores; Diagramas da
Rede elétrica; Configuração de Equipamento; Especificação
Técnica de Hardware; Especificação Técnica de
Sistema; Especificação Técnica da Infraestrutura; Configuração
de Sistema Controle de Acesso; Chave Privada de Autoridade Certifica Raiz
(AC-Raiz); Senha de Operação /Administração de
Equipamentos (Hardware); Senha de Operação /Administração
do Sistema e Gestão de Certificados (SCG); Senha de Operação
/Administração de Sistemas (Software); Senha de Operação
/Administração do Sistema de extinção de Incêndio;
Senha de Operação /Administração do Sistema de
Intrusão; Senha de Operação /Administração
do Circuito Fechado de TV; Senha de Operação /Administração
do Controle Acesso Físico; Habilitação Jurídica;
Laudo de Conformidade; Relatório de Análise Quantitativa e
Qualitativa; Ensaios de Conformidade; Código - Fonte de Sistemas;
Listas de Tarefas dos Vigilantes -Recepção; Livro de Registro
de Destruição de Mídias e Documentos; Livro de Registro
de Manutenção de Hardware; Livro de Registro de Presença
- CCD - ITI; Livro de Registro de Termos de Cartão de Acesso-CCD;
Livro de Registro de Termos de Entrada de Material; Livro de Registro de
Termos de Saída de Material; Manual de Administração
do Banco de Dados; Manual de Uso das Estações de Trabalho; Manual
dos Administradores - CCD; Manual dos Vigilantes - CCD; Planilha de Controle
de Cartões de Acesso do CCD; Planilha de Controle de Cds-Bakcup CFTV-CCD;
Planilha de Controle de Chaves Mecânicas; Listas de Tarefas dos Vigilantes
-Recepção; Livro de Registro de Destruição de
Mídias e Documentos; Livro de Registro de Manutenção
de Hardware; Sistemas (Logs); Servidores (Logs); Imagens de Vídeo (CFTV);
Registro de Incidentes de Segurança; Registros Telefônicos; Base
de dados de ferramentas de monitoramento (redes, sistemas, servidores); Documentação
da topologia/arquitetura da rede; Arquivos de configuração
de Firewall; Arquivos de configuração de Servidores; Arquivos
de configuração de Switches; Diagramas da Rede Dados; Diagrama
de CFTV; Diagramas da Rede elétrica; Dados de Fitas de Backup; E-mails
Institucionais( Serviço de Correio Eletrônico); Arquivos do
serviço de armazenamento de dados corporativos (Sistema de Aquivos
Dados-ITI); Senha de Operação /Administração de
Equipamentos (Hardware); Senha de Operação /Administração
de Sistemas e Servidores (Software);Senha de Operação /Administração
do Circuito Fechado de TV.
|