PORTARIA Nº 3864/GR/UFFS/2025

O REITOR DA UNIVERSIDADE FEDERAL DA FRONTEIRA SUL (UFFS), no uso de suas atribuições legais, e considerando a deliberação do Comitê de Governança Digital na reunião realizada em 16 de dezembro de 2024,

 

 

Art. 1º  ESTABELECER princípios, diretrizes, responsabilidades e competências para a gestão de Segurança da Informação e Comunicações no âmbito da Universidade Federal da Fronteira Sul (UFFS).

 

Art. 2º  São objetivos da Política de Segurança da Informação e Comunicações:

I -  estabelecer princípios e diretrizes a fim de proteger ativos de informação e conhecimentos gerados ou recebidos;

II -  estabelecer orientações gerais de segurança da informação e, desta forma, contribuir para a gestão eficiente dos riscos, limitando-os a níveis aceitáveis, bem como preservar os princípios da disponibilidade, integridade, confiabilidade e autenticidade das informações;

III -  estabelecer competências e responsabilidades quanto à segurança da informação;

IV -  nortear a elaboração das normas necessárias à efetiva implementação da segurança da informação;

V -  promover o alinhamento das ações de segurança da informação com as estratégias de planejamento organizacional da UFFS.

 

Art. 3º  A Política é aplicada a todos que, direta ou indiretamente, possuem acesso às informações da Universidade Federal da Fronteira Sul (UFFS).

 

Art. 4º  Para os efeitos desta Política, das normas complementares e dos procedimentos operacionais de Segurança da Informação e Comunicações criados no âmbito da UFFS, serão adotados os conceitos e as definições descritas nos termos do Glossário de Segurança da Informação, aprovado pela Portaria Gsi/PR N.º 93, DE 18 DE OUTUBRO DE 2021.

 

Art. 5º  A POSIC-UFFS deve obedecer aos princípios constitucionais, administrativos e do arcabouço legislativo vigente que regem a Administração Pública Federal (APF).

 

Art. 6º  A Segurança da Informação e Comunicações da UFFS abrange aspectos físicos, tecnológicos e humanos da organização e orienta-se pelos seguintes princípios:

I -  garantia da integridade, da autenticidade, confidencialidade e da disponibilidade das informações;

II -  proteção adequada das informações, de acordo com a necessidade de restrição de acesso;

III -  planejamento das ações para manter a segurança da informação;

IV -  transparência das informações públicas, de acordo com a legislação vigente;

V -  continuidade dos processos e serviços essenciais para o funcionamento da UFFS;

VI -  respeito ao acesso à informação, à proteção de dados pessoais e à proteção da privacidade;

VII -  responsabilidade do usuário de informação pelos atos que comprometam a segurança dos ativos de informação;

VIII -  alinhamento estratégico da Política de Segurança da Informação com o planejamento estratégico da UFFS, assim como demais normas específicas de segurança da informação da Administração Pública Federal;

IX -  conformidade das normas e das ações de segurança da informação com a legislação regulamentos aplicáveis; e

X -  educação e comunicação como alicerces fundamentais para o fomento da cultura de segurança da informação.

 

Art. 7º  Estas diretrizes constituem os principais pilares da gestão de segurança da informação, norteando a elaboração de políticas, planos e normas complementares no âmbito da UFFS e objetivam a garantia dos princípios básicos de segurança da informação estabelecidos nesta Política.

 

Art. 8º  As normas, procedimentos, manuais e metodologias de segurança da informação da UFFS devem considerar, como referência, além dos normativos vigentes, as melhores práticas de segurança da informação.

 

Art. 9º  As ações de segurança da informação devem:

I -  considerar, prioritariamente, os objetivos estratégicos, os planos institucionais, a estrutura e a finalidade da UFFS;

II -  ser tratadas de forma integrada, respeitando as especificidades e a autonomia das unidades da UFFS;

III -  ser adotadas proporcionalmente aos riscos existentes e à magnitude dos danos potenciais, considerados o ambiente, o valor e a criticidade da informação;

IV -  visar à prevenção da ocorrência de incidentes.

 

Art. 10.  Os ativos de informação da UFFS devem ser inventariados e atribuídos a gestores e custodiantes.

 

Art. 11.  Todos os sistemas de informação da UFFS, automatizados ou não, devem ter um gestor do ativo de informação, formalmente designado pela autoridade competente.

 

Art. 12.  As condições e os termos de licenciamento de software e os direitos de propriedade intelectual devem ser, obrigatoriamente, respeitados.

Parágrafo único. A instalação de programas (software) em ativos de tecnologia da informação da UFFS é permitida exclusivamente para atender às atividades relacionadas às funções desempenhadas pelo servidor. É vedada a instalação de programas (softwares) que estejam em desacordo com as normas de licenciamento, incluindo aqueles obtidos de forma ilícita, como versões "crackeadas".

 

 

Art. 13.  Toda e qualquer informação gerada, custodiada, manipulada, utilizada ou armazenada na UFFS compõe o seu rol de ativos de informação e deve ser protegida conforme normas em vigor.

Parágrafo único. As informações citadas no caput, que tramitem pelo ambiente computacional da UFFS, são passíveis de monitoramento e auditoria pela UFFS, respeitados os limites legais.

 

 

Art. 14.  O controle de acesso observará as diretrizes e normas complementares desta Política, bem como a Instrução Normativa nº 15/SETI/UFFS/2024.

 

Art. 15.  Todos os usuários são responsáveis pelos ativos de informação e comunicações aos quais têm acesso, bem como por utilizá-los estritamente dentro do propósito institucional, sendo vedado seu uso para fins particulares ou de terceiros.

 

Art. 16.  A concessão de acesso deve ser realizada em conformidade com o princípio do privilégio mínimo, ou seja, cada credencial de acesso deve possuir apenas o conjunto de privilégios estritamente necessários ao desempenho das suas atribuições institucionais.

§ 1º  As tentativas de autenticação, concessão e revogação de privilégios de acesso, em qualquer ativo de tecnologia da informação, devem ser registradas de modo que seja possível determinar a data e hora na qual ocorreram, os identificadores de acesso utilizados e o ativo de informação-alvo, bem como os privilégios concedidos e revogados.

§ 2º  No momento do desligamento de servidores Docentes ou TAEs, deverão ser revogados todos os acessos privilegiados e desativados os ativos a eles atribuídos.;

§ 3º  No caso de desligamento de acadêmicos, serão mantidos apenas os acessos aos sistemas acadêmicos e à rede Wi-Fi;

 

Art. 17.  O ativo arquivístico digital de longa temporalidade ou de caráter permanente produzido pelo usuário deverá ser mantido em Repositório Arquivístico Digital Confiável (RDC-Arq), em conformidade com a legislação vigente.

 

Art. 18.  Os espaços físicos de atuação da UFFS devem ser adequadamente protegidos, visando salvaguardar os ativos de informação, conforme a classificação de risco de cada ambiente.

 

 

Art. 19.  O uso da Internet, de e-mail corporativo e das redes sociais, no âmbito da UFFS, devem estar detalhados em normas específicas e em conformidade com as diretrizes desta Política, bem como a Instrução Normativa nº 16/SETI/UFFS/2024, Instrução Normativa Nº 14/SETI/UFFS/2023 e demais normas específicas publicadas pela SETI.

Parágrafo único. Diretrizes para Gestão Arquivística devem ser observadas através da Resolução Nº 36 do Conselho Nacional de Arquivos (CONARQ) e legislação em vigência.

 

 

Art. 20.  O uso dos recursos computacionais e de informações da UFFS é passível de monitoramento, respeitando-se os princípios da legislação vigente.

Parágrafo único. Mecanismos que permitam a rastreabilidade desse uso devem ser detalhados em normas específicas em conformidade com as diretrizes desta Política.

 

 

Art. 21.  Devem ser elaboradas, implementadas e instituídas políticas e procedimentos para Gestão de Continuidade de Negócios da UFFS, incluindo o Plano de Contingência do Data Center para que a UFFS possa continuar suas atividades em caso de um incidente de segurança da informação e a realização de testes e exercícios periódicos baseados no Plano de Continuidade para garantir sua eficácia;

Parágrafo único. A UFFS deverá dispor de processos que assegurem a disponibilidade e a integridade dos ativos de informação.

 

 

Art. 22.  Todos os contratos, convênios, acordos e instrumentos congêneres devem:

I -  conter cláusulas que estabeleçam a obrigatoriedade de observância e aceitação desta Política de Segurança de Informação e Comunicações e de suas normas complementares;

II -  a instalação, a compra e o uso de soluções que envolvam a informação e a comunicação devem atender à legislação vigente;

III -  nos instrumentos indicados no caput, devem constar cláusulas de confidencialidade, bem como cláusulas que determinem as sanções cabíveis em caso de descumprimento desta Política.

 

 

Art. 23.  A UFFS implementará e manterá processos de gestão de riscos para prevenir e tratar incidentes e proteger os ativos de informação e comunicações.

Parágrafo único. Os processos devem possibilitar a classificação de ordem de prioridade dos ativos e a definição e implementação de controles para identificação e tratamento de problemas de segurança.

 

 

Art. 24.  A UFFS instituirá e manterá a Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos (ETIR), a qual atuará proativamente no ambiente de Tecnologia da Informação e Comunicação da UFFS a fim de identificar, isolar, tratar e responder às vulnerabilidades, ameaças e incidentes cibernéticos.

 

Art. 25.  Devem ser instituídas metodologias ou normas que estabeleçam processos de gestão para tratamento e respostas a incidentes de segurança da informação e comunicações, incluindo o disposto na Portaria nº 2535/GR/UFFS/2022.

 

 

Art. 26.  A POSIC-UFFS deve ser conhecida e seguida por todos os usuários do órgão, sendo difundida na UFFS por meio de um processo permanente de conscientização e sensibilização em Segurança da Informação e Comunicações.

 

Art. 27.  A UFFS deverá prover, regularmente, capacitação especializada em Segurança da Informação e Comunicações aos membros da ETIR, a fim de garantir a adequada gestão, manutenção destas diretrizes e tratamento de incidentes.

 

 

Art. 28.  Todos os agentes públicos que necessitem acesso às informações a partir do início do seu vínculo com a instituição, estão automaticamente concordando com termo de responsabilidade e confidencialidade, garantindo o conhecimento e zelo pelo adequado cumprimento desta Política de Segurança da Informação e Comunicações.

 

Art. 29.  Ao Reitor, de acordo com a Instrução Normativa nº 1, de 27 de maio de 2020, que dispõe sobre a Estrutura de Gestão da Segurança da Informação nos órgãos e nas entidades da administração pública federal, publicada pelo Gabinete de Segurança Institucional da Presidência da República, compete:

I -  fornecer os recursos necessários para assegurar o desenvolvimento e a implementação da Gestão de Segurança da Informação da UFFS, bem como com o tratamento das ações e decisões de segurança da informação em um nível de relevância e prioridade adequados; e

II -  formalizar e aprovar a Política de Segurança da Informação da UFFS bem como suas alterações e atualizações.

 

Art. 30.  Aos membros do Comitê de Segurança da Informação e Comunicações da UFFS, de acordo com a Instrução Normativa nº 1, de 27 de maio de 2020, compete:

I -  assessorar na implementação das ações de segurança da informação;

II -  constituir grupos de trabalho para tratar de temas e propor soluções específicas sobre segurança da informação;

III -  participar da elaboração da Política de Segurança da Informação e das normas internas de segurança da informação;

IV -  propor alterações à Política de Segurança da Informação e às normas internas de segurança da informação;

V -  deliberar sobre normas internas de segurança da informação;

VI -  avaliar as ações propostas pelo gestor de segurança da informação.

Parágrafo único. A composição, estrutura, recursos e funcionamento do Comitê de Segurança da Informação será definido em Portaria emitida pela UFFS, de acordo com a legislação vigente.

 

Art. 31.  Ao Gestor de Segurança da Informação e Comunicações, de acordo com a Instrução Normativa nº 1, de 27 de maio de 2020, compete:

I -  coordenar o Comitê de Segurança da Informação;

II -  coordenar a elaboração da Política de Segurança da Informação e Comunicações - POSIC e das normas internas de segurança da informação do órgão, observadas a legislação vigente e as melhores práticas sobre o tema;

III -  assessorar a Alta Administração na implementação da Política de Segurança da Informação;

IV -  estimular ações de capacitação e de profissionalização de recursos humanos em temas relacionados à segurança da informação;

V -  promover a divulgação da política e das normas internas de segurança da informação do órgão a todos os servidores, usuários e prestadores de serviços que trabalham no órgão;

VI -  incentivar estudos de novas tecnologias, e seus eventuais impactos relacionados à segurança da informação;

VII -  propor recursos necessários às ações de segurança da informação;

VIII -  acompanhar os trabalhos da Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos;

IX -  verificar os resultados dos trabalhos de auditoria sobre a gestão da segurança da informação;

X -  acompanhar a aplicação de ações corretivas e administrativas cabíveis nos casos de violação da segurança da informação;

XI -  manter contato direto com o Gabinete de Segurança Institucional da Presidência da República em assuntos relativos à segurança da informação;

Parágrafo único. O Gestor de Segurança da Informação da UFFS será designado em portaria de acordo com a legislação vigente.

 

Art. 32.  Compete aos Encarregados pelo Tratamento dos Dados Pessoais, dentre outras atribuições dispostas na legislação vigente, em especial ao disposto na Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados - LGPD) e demais normativos e orientações emitidas pela Autoridade Nacional de Proteção de Dados (ANPD), conduzir o diagnóstico de privacidade, bem como orientar, no que couber, os gestores proprietários dos ativos de informação, responsáveis pelo planejamento, implementação e melhoria contínua dos controles de privacidade em ativos de informação que realizem o tratamento de dados pessoais ou dados pessoais sensíveis.

 

Art. 33.  À Equipe de Prevenção, Tratamento e Respostas a Incidentes Cibernéticos, de acordo com a Instrução Normativa nº 1, de 27 de maio de 2020, compete:

I -  facilitar, coordenar e executar as atividades de prevenção, tratamento e resposta a incidentes cibernéticos na UFFS;

II -  monitorar as redes computacionais;

III -  detectar e analisar ataques e intrusões;

IV -  tratar incidentes de segurança da informação;

V -  identificar vulnerabilidades e artefatos maliciosos;

VI -  recuperar sistemas de informação;

VII -  promover a cooperação com outras equipes, e participar de fóruns e redes relativas à segurança da informação;

 

Art. 34.  Compete aos usuários de TIC conhecer, cumprir e fazer cumprir esta Política e às demais normas específicas de segurança da informação da UFFS.

Parágrafo único. Todos os usuários de TIC são responsáveis pela segurança dos ativos de informação que estejam sob a sua responsabilidade .

 

 

Art. 35.  Em caso de descumprimento de termos estabelecidos nesta Portaria, serão aplicadas as sanções e penalidades previstas na legislação vigente e nas regulamentações internas da UFFS.

 

Art. 36.  Em casos de risco ou quebra de Segurança da Informação e Comunicações por meios eletrônicos, o Gestor de Segurança da Informação e a ETIR devem ser imediatamente acionados para adotar as providências necessárias, podendo inclusive determinar a restrição temporária do acesso às informações e/ou aos recursos computacionais da UFFS.

 

 

Art. 37.  É vedada a divulgação a terceiros de mecanismos de identificação, autenticação e autorização baseados em conta e senha ou certificação digital, de uso pessoal e intransferível, que são fornecidos aos usuários.

 

Art. 38.  É vedada a exploração de eventuais vulnerabilidades, as quais devem ser comunicadas às instâncias superiores assim que identificadas.

 

Art. 39.  As unidades organizacionais da UFFS devem promover ações de treinamento e conscientização para que os seus colaboradores entendam suas responsabilidades e procedimentos voltados à segurança da informação e à proteção de dados.

Parágrafo único. A conscientização, a capacitação e a sensibilização em segurança da informação devem ser adequadas aos papéis e responsabilidades dos colaboradores.

 

Art. 40.  As denúncias de violação a esta Política podem ser comunicadas ao Gestor de Segurança da Informação e feitas através dos seguintes canais:

I -  e-mail: abuse@uffs.edu.br;

II -  correspondência oficial (Ofício);

III -  abertura de chamados no Sistema de Atendimento de Tecnologia e Informação (ATI) para a fila: Segurança da Informação.

 

Art. 41.  O cumprimento desta Política, bem como dos normativos que a complementam devem ser avaliados pela UFFS periodicamente por meio de verificações de conformidade, buscando a certificação do cumprimento dos requisitos de segurança da informação e da garantia de cláusula de responsabilidade e sigilo constantes de termos de responsabilidade, contratos, convênios, acordos e instrumentos congêneres

 

Art. 42.  A não observância do disposto nesta Política, bem como em seus instrumentos normativos correlatos, sujeita o infrator à aplicação de sanções administrativas conforme a legislação vigente, sem prejuízo das responsabilidades penal e civil, assegurados sempre aos envolvidos o contraditório e a ampla defesa.

 

Art. 43.  Esta Política será revisada periodicamente, pelo menos a cada quatro anos, ou com mais frequência se necessário, para refletir as mudanças no ambiente da UFFS, nos riscos à segurança da informação e nas melhores práticas de segurança da informação.

 

Art. 44.  Os casos omissos serão analisados e deliberados pelo Comitê de Segurança da Informação e Comunicações da UFFS.

 

Art. 45.  Demais requisitos de segurança, normas, procedimentos da Segurança da Informação e Comunicações serão estabelecidos em normas complementares específicas a esta Política.

 

 

Art. 46.  Esta Portaria entra em vigor na data de sua publicação no Boletim Oficial da UFFS.

APF: Administração Pública Federal.

ATI: Sistema de Atendimento de Tecnologia e Informação

ETIR: Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos

Gestor de SIC: Gestor de Segurança da Informação e Comunicações.

GSI/PR: Gabinete de Segurança Institucional da Presidência da República.

POSIC-UFFS: Política de Segurança da Informação e Comunicações da Universidade Federal da Fronteira Sul (UFFS).

POSIC: Política de Segurança da Informação e Comunicações.

SIC: Segurança da Informação e Comunicações.

TAE: Técnico Administrativo em Educação.

TIC: Tecnologia da Informação e Comunicações.