Documento formal, a ser assinado por usuário de equipamentos pertencentes à infraestrutura do DBDG, por meio do qual atesta estar ciente de que o mesmo será utilizado exclusivamente para as atividades de serviço e de acordo com a configuração estabelecida de software.
5.9.2.8 Termo de Autorização para Acesso
Documento formal que todo usuário que acessa o Portal SIG Brasil deve acusar ciência, por meio do qual poderão ser concedidos direitos de acesso lógico ao acervo digital de dados e serviços.
5.9.3 Estrutura de Segurança da Informação e Comunicações (SIC)
A estrutura da SIC é construída pela união de dois aspectos fundamentais: o cultural e o tecnológico, desde que devidamente alicerçados pelo apoio do nível mais elevado da estrutura organizacional e por um sólido suporte documental, o que torna possível tratar a informação de modo coordenado, controlado e eficazmente seguro.
Embora não transpareça, a SIC envolve fatores complexos de difícil condução, fiscalização e controle, em face de as vulnerabilidades estarem presentes por toda a parte e serem consideradas, em um ambiente de trabalho, como fatos normais.
A SIC constitui-se na obtenção do controle sobre toda a realidade virtual associada a um contexto onde dados e informações resultam da inter-relação de recursos computacionais, sistemas de comunicação, componentes humanos e programas. Para obter tal controle, à vista da fragilidade vinculada à comprovação de autoria de uma ação no mundo virtual, faz-se necessário implementar, institucionalmente, documentos e instruções padronizados que, quando bem construídos, atuam fundamentadamente para estabelecer, de forma legítima e inconteste, a correlação entre agente e fato.
Não poderá haver dúvidas, dissonância ou distorções entre as estratégias traçadas para a implantação e manutenção das medidas de SIC e as estratégias traçadas pela Comissão Nacional de Cartografia, a fim de se alcançar os propósitos organizacionais.
É no fator cultural que se enquadra o elemento humano, o funcionário, peça-chave de grande complexidade, por meio do qual fluem todos os processos de informação, e que traz consigo uma gama de variáveis imprevisíveis, nem sempre de fácil solução.
O fator tecnológico possui menor complexidade em relação aos demais, em face de ser composto por variáveis previsíveis que podem, de um modo ou de outro, ser adequadamente superadas ou reajustadas.
5.9.4 Estrutura de Gestores de Segurança da Informação e Comunicações (GesSIC-DBDG)
Cada órgão ou entidade participante do DBDG deverá nomear formalmente um GesSIC para assumir a responsabilidade pela condução da POSIC-DBDG e seus respectivos sistemas e servidores que concentram dados geoespaciais. Tal representante deverá ter o entendimento necessário para conduzir o assunto, bem como a respectiva autoridade para conduzir os ajustes necessários, a fim de implementar a segurança de dados interna e atender às solicitações do gestor do DBDG.
Os GesSIC-DBDG nomeados pelos órgãos e entidades participantes da INDE atuarão sob a orientação, orquestração e supervisão de um GesSIC coordenador-geral, do IBGE, a quem caberá conduzir a aplicação da POSIC-DBDG. Este coordenador-geral será uma pessoa-chave do Grupo de
108
Trabalho dedicado a Tecnologia, no âmbito do Comitê de Implantação da INDE, segundo a proposta de modelo organizacional e de coordenação apresentada no Capítulo 8 – Seção 8.2.
5.9.5 Das Responsabilidades
5.9.5.1 Do Coordenador-Geral dos GesSIC-DBDG
Cumprir a política de segurança da informação e comunicações, bem como as respectivas normas básicas de segurança estabelecidas para a INDE;
Interagir com os demais GesSIC-DBDG, de modo a acompanhar o cumprimento das medidas de segurança estabelecidas;
Zelar pelo fortalecimento da cultura de segurança;
Manter um programa de treinamento de SIC para os GesSIC-DBDG;
Manter o DBDG preparado para eventuais auditorias internas ou externas, referentes à SIC; e Orientar e orquestrar a atuação dos GesSIC-DBDG.
5.9.5.2 Do GesSIC-DBDG
Compete ao GesSIC-DBDG, à vista dos meios disponíveis e das orientações do coordenador-geral: Sugerir procedimentos e medidas de proteção para o aperfeiçoamento da infraestrutura da SIC
existente;
Implementar a política de segurança da informação e comunicações, bem como cumprir as respectivas normas básicas de segurança estabelecidas para o DBDG;
Assessorar o coordenador-geral nos assuntos de SIC de seu órgão ou entidade;
Alterar, propor, analisar e verificar se os requisitos de SIC estão sendo praticados em conformidade com a política de SIC, de modo a se obter o efeito desejado;
Identificar os recursos de informática de seu órgão ou entidade que necessitam de proteção, de acordo com o respectivo grau de sigilo da informação por eles processada ou armazenada. Esse procedimento de identificação deverá estar explícito formalmente;
Reportar prontamente os incidentes de SIC ao coordenador-geral, após uma avaliação preliminar, visando ao aperfeiçoamento de medidas de proteção;
Elaborar e encaminhar ao coordenador-geral relatório de análise de riscos e vulnerabilidades, ao menos uma vez por ano;
Analisar o impacto da descontinuidade ou implantação de serviços, e suas consequências para o contexto da INDE, estabelecendo um plano de contingência;
Apresentar, implementar, revisar e adequar anualmente o plano de contingência, promovendo testes periódicos no órgão ou entidade participante;
Exigir do pessoal externo autorizado a executar serviços que envolvam os recursos computacionais do DBDG a assinatura do Termo de Compromisso Individual, Termo de Cessão de Equipamento do DBDG, bem como o cumprimento das regras estabelecidas nos referidos Termos;
109
Adotar providências para que os serviços (instalações, manutenções ou correções) sejam executados sem comprometer a segurança dos sistemas de informações digitais; e
Garantir, à vista dos meios disponíveis e das orientações superiores recebidas, que todos os atores da INDE participantes do DBDG estejam cientes da política de SIC em vigor, por meio da assinatura do Termo de Compromisso Individual e do Termo de Cessão de Equipamento do DBDG.
5.9.5.3 Dos Componentes das Equipes dos Sistemas de Informações dos Órgãos e Entidades
Participantes
Não divulgar características da rede local, equipamentos servidores, e aspectos de segurança aplicados no desenvolvimento de serviços;
Auxiliar o GesSIC-DBDG na divulgação de regras de segurança estabelecidas para a INDE; Assessorar o GesSIC-DBDG, quando solicitado, na avaliação dos incidentes de SIC;
Estabelecer procedimentos para garantir que as cópias de segurança (backups) estejam sendo feitas e guardadas de forma correta e segura; e
Executar exercícios do plano de contingência.
5.9.6. Aplicabilidade
As medidas de SIC devem garantir um nível aceitável de proteção em caso de ataque ou prejuízo aos recursos de informação. Tais medidas se aplicam:
Às atividades que envolvam trâmite, processamento ou arquivamento de informação em meio eletrônico;
Aos recursos de informática e aos sistemas de informações digitais;
Aos usuários internos e externos, aos GesSIC-DBDG e aos componentes dos setores de TI dos respectivos órgãos e entidades participantes que interagem com os serviços disponibilizados e com as bases de dados sob o contexto da INDE; e
Aos contratos efetuados com empresas, ou terceiros, cujo escopo envolvam acessos à informação digital de qualquer espécie, estando a mesma disposta de modo integrado ou não, disponível em um (ou mais) computador (es), servidor (es) ou em mídias, por meio da rede local, de uma Intranet ou da Internet.