Links

Página Inicial ALMG (Consulta Legislação) Jornal Minas Gerais Enviar por Email Imprimir Envie sua Sugestão Política de Seleção de Normas Voltar

Sistema de informação que reúne em um só local as Leis e Decretos, bem como seus regulamentos (resoluções, portarias ...) de todos os órgãos do poder executivo de Minas Gerais. O objetivo do Pesquisa Legislativa é oferecer a sociedade o acesso as normas publicadas no Diário Oficial de forma simples e atualizada, promovendo uma gestão transparente e o acesso à informação. Saiba mais

Diretoria de Arquivo, Pesquisa Legislativa e Consulta Pública

pesquisalegislativa@ctl.mg.gov.br / (31) 3915-1040

Dados da Legislação

Resolução 9, de 28/6/2024 (CONTROLADORIA-GERAL DO ESTADO - CGE)

Dados Gerais

Tipo de Norma:

Resolução

Número:

Data Assinatura:

28/6/2024

Órgão

Órgão Origem:

Controladoria-Geral do Estado - CGE

Histórico

	Tipo Publicação:	PUBLICAÇÃO	Data Publicação:	29/6/2024
	Fonte Publicação:	Minas Gerais - Diário do Executivo	Página Publicação:	6

Texto

RESOLUÇÃO CGE Nº 09, DE 28 DE JUNHO DE 2024

Institui a Política de Segurança da Informação no âmbito da Controladoria-Geral do Estado.

O CONTROLADOR-GERAL DO ESTADO, no uso das atribuições conferidas pelo §1º do art. 93 da Constituição do Estado e tendo em vista o disposto no art. 46 da Lei nº 24.313, de 28 de abril de 2023, no Decreto nº 48.687, de 13 de setembro de 2023, no Decreto nº 47.974, de 05 de junho de 2020, na Resolução Seplag nº 084, de 11 de novembro de 2022 e na Resolução CGE nº 16, de 14 de julho de 2022, alterada pela Resolução CGE nº 05, de 1º de março de 2024,

RESOLVE,

CAPÍTULO I

DISPOSIÇÕES PRELIMINARES

Art. 1º - Fica instituída a Política de Segurança da Informação no âmbito da Controladoria-Geral do Estado – PSI/CGE, constituída por um conjunto de princípios, diretrizes e regras que estabelecem os princípios de tratamento, controle de acesso, proteção e monitoramento das informações processadas, armazenadas e/ou custodiadas pelas unidades administrativas da Controladoria-Geral do Estado – CGE.

Parágrafo único – A PSI/CGE está alinhada aos normativos federais e estaduais vigentes e à família das normas ABNT ISO 27000 e demais normas correlatas.

Art. 2º - O cumprimento da PSI/CGE é obrigatório a todos aqueles que exerçam, ainda que transitoriamente e sem remuneração, por eleição, nomeação, designação, contratação ou qualquer outra forma de investidura ou vínculo, mandato, cargo, emprego ou função pública nas unidades administrativas da CGE, ou fora delas, em razão do acesso às informações da CGE.

Art. 3º - A PSI/CGE se aplica, no que couber, às pessoas físicas e jurídicas que possuam vínculo contratual com a CGE ou que tenham acesso aos sistemas, serviços e informações custodiadas ou sob a guarda do órgão.

Art. 4º- A PSI/CGE visa observar a boa-fé e atender aos seguintes princípios:

I - confidencialidade: garantia de que o acesso à informação seja obtido somente por pessoas devidamente autorizadas;

II - integridade: garantia de que a informação seja mantida em seu estado original, visando protegê-la contra alterações indevidas, intencionais ou acidentais;

III - disponibilidade: garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário;

IV - autenticidade: garantia da identidade de quem está tratando a informação, que tem, como consequência, o não-repúdio, que ocorre quando o usuário não pode se esquivar da autoria da ação;

V - legalidade: garantia de que ações sejam realizadas em conformidade com os preceitos legais vigentes e que seus produtos tenham validade jurídica;

VI - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

VII - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

VIII - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

IX - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

X - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

XI - transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os sigilos previstos em leis;

XII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

XIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

XIV – não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;

XV – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Art. 5º - Para os fins desta Resolução, considera-se:

I – acesso lógico: acesso à rede, aos sistemas e às informações da CGE;

II - acesso remoto: conexão à distância entre um dispositivo isolado (terminal ou microcomputador) e uma rede;

III - active directory (AD): implementação de serviço de diretório que armazena informações sobre objetos em rede de computadores e disponibiliza essas informações aos usuários e administradores desta rede;

IV - administrador de sistemas: pessoa responsável pela gestão dos usuários das aplicações e sistemas, sejam eles desktops ou web;

V - aplicativo de desktop: software ou aplicação que precisa ser instalado ou acessado diretamente pelo sistema operacional independente da sua funcionalidade;

VI – antivírus: programa de segurança com a finalidade de prevenir, fazer a varredura, detectar e excluir vírus de um computador, com o objetivo de aumentar a segurança, para fornecer proteção em tempo real contra-ataques de vírus;

VII - auditoria de segurança da informação: procedimento que avalia a gestão da segurança da informação, o controle dos ativos e os riscos envolvidos, considerados de forma efetivapela organização, abordando aspectos de confidencialidade, integridade e disponibilidade contidos nos conceitos de segurança lógica e física;

VIII – autenticação: processo de verificação da identidade que consta em um sistema, ou seja, o sistema verifica as credenciais de quem está tentando acessá-lo, com as que constam na base de dados e, em caso positivo, o sistema é liberado pois as credenciais foram validadas;

IX - backup ou cópia de segurança: procedimento de cópia de dados de um dispositivo de armazenamento para outra fonte segura que poderá ser utilizada futuramente;

X - certificado digital: arquivo eletrônico que contém dados de uma pessoa física ou jurídica, assinado digitalmente por uma Autoridade Certificadora, utilizados para comprovar sua identidade, armazenado em mídia física, denominada token, dispositivo de hardware ou armazenamento em nuvem, possibilitando o acesso à assinatura digital por meio de computador ou dispositivo móvel com acesso à internet;

XI - dado pessoal: informação relacionada à pessoa natural identificada ou identificável;

XII - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

XIII - desktop virtual: infraestrutura em nuvem composta por sistemas operacionais e aplicativos em que o ambiente de desktop é separado do dispositivo físico usado para acessá-lo, podendo ser acessados de forma remota, a partir de qualquer dispositivo com acesso à internet;

XIV – diretrizes: regras de alto nível que representam os princípios básicos incorporados na gestão de uma organização, conforme sua visão estratégica, e que orientam normas e procedimentos complementares;

XV - disco local: disco rígido físico que armazena dados em um computador, sendo a unidade C, ou o disco local C, o disco primário ativo no sistema;

XVI - duplo fator de autenticação (DFA): componente de gestão de acesso que requer que os usuários provem a sua identidade utilizando pelo menos dois fatores de verificação diferentes antes de acessarem websites, aplicações móveis ou outros recursos online, protegendo com uma barreira adicional para romper antes de obter acesso à conta alvo, nos casos em que um fator é comprometido por um invasor;

XVII - equipamento móvel: equipamento com capacidade de processamento e armazenamento de dados, passível de utilização por usuários em trânsito, como notebooks, tablets e telefones inteligentes (smartphones), bem como equipamentos similares;

XVIII - equipamento particular: todo dispositivo que não é fornecido institucionalmente para o desenvolvimento das atividades profissionais;

XIX – estação de trabalho: equipamentos disponibilizados no ambiente de trabalho com a finalidade de execução das atividades profissionais em local fixo, com a capacidade de comunicação em rede, como desktops e equipamentos móveis;

XX - ferramenta de colaboração: solução digital pautada em tecnologias móveis, como a computação em nuvem, a telefonia e as Application Programing Interfaces (APIs), com o objetivo principal de promover comunicação efetiva e integrada, seja entre membros de um time corporativo, entre colaboradores e clientes ou mesmo entre usuários de serviços;

XXI – firewall: sistema de segurança de rede que monitora e controla o tráfego de entrada e de saída da rede com base em regras de segurança pré-determinadas, e que, geralmente, estabelece uma barreira de segurança entre uma rede interna confiável e outra rede externa, como a internet, que se assume não segura ou confiável;

XXII - gestão de continuidade do negócio: conjunto de planos e procedimentos necessários para a recuperação efetiva de um incidente, minimizando ao máximo os impactos à organização;

XXIII - gestão de mudanças: processo que torna mais fácil para a organização distribuir solicitações de mudança em sua infraestrutura de tecnologia da informação – TI, apoiando a solicitação, priorização, autorização, aprovação, programação e implementação de quaisquer mudanças, sejam elas simples ou complexas, contribuindo para controlar os riscos e reduzir ao mínimo as interrupções nos serviços;

XXIV - gestão de riscos: conjunto de atividades coordenadas para identificar, analisar, avaliar, tratar e monitorar riscos com o intuito de conferir razoável segurança quanto ao alcance dos objetivos institucionais;

XXV - incidente de segurança da informação: indicação de eventos indesejados ou inesperados que possam colocar em risco as informações armazenadas em meio físico ou eletrônico sob a guarda da CGE ou que tenham grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação;

XXVI – informação: resultante do processamento, da manipulação e da organização de dados, de tal forma que represente uma modificação quantitativa ou qualitativa no conhecimento do sistema (humano, animal ou máquina) que a recebe;

XXVII – intranet: rede interna, de uso corporativo, que utiliza a mesma tecnologia da internet, para que os usuários possam acessar as informações das suas organizações;

XXVIII – logs: registros contínuos que contém a data e a hora de determinado evento, além de mensagem criada automaticamente pelos softwares e sistemas de TI, com o objetivo de documentar as ações realizadas nos sistemas e possibilitar a rastreabilidade das ações realizadas;

XXIX - mecanismos de proteção: barreiras que impedem ou limitam o acesso à informação, propiciando um ambiente controlado, seguro e disponível, geralmente eletrônico, evitando que a informação esteja exposta à exclusão, divulgação, alteração ou acesso não autorizado por indivíduo mal-intencionado;

XXX - Microsoft 365 (M365): conjunto de aplicativos da Microsoft, como o Word, Excel, Powerpoint, Microsoft Teams, One Drive e Outlook, Power BI, Forms e Power Automate, entre outros, utilizados para a realização das atividades da organização;

XXXI - política de segurança da informação: conjunto de definições, diretrizes, restrições e requisitos que servem para nortear o uso de boas práticas no trato com os ambientes, recursos e ativos computacionais, em aspectos físicos, lógicos e de pessoal, com a finalidade de proporcionar maior segurança às informações;

XXXII - privilégios de administrador: permissão que possibilita modificar as configurações de um computador, inclusive as de segurança, instalar e remover softwares e acessar qualquer arquivo existente na máquina;

XXXIII - rede corporativa: infraestrutura de tecnologia da informação projetada para facilitar a comunicação, o compartilhamento de recursos e informações, e a execução de operações administrativas dentro da entidade governamental, garantindo a segurança dos dados e o cumprimento das regulamentações governamentais;

XXXIV - serviço de correio eletrônico: sistema de mensageria utilizado na internet, que tem a função de possibilitar o envio e o recebimento de mensagens entre usuários, grupos ou sistemas computacionais;

XXXV – SIS Alerta: sistema de TI utilizado pela CGE cujos principais recursos incluem gerenciamento de mudanças, suporte de automação, autoatendimento, serviços predefinidos e fluxos de trabalho;

XXXVI – teletrabalho: regime de trabalho no qual a atividade laboral é executada, no todo ou em parte, em local diverso daquele estabelecido para a realização do trabalho presencial, mediante a utilização de tecnologias de informação e de comunicação que permitam a execução remota das atribuições inerentes ao cargo, função ou atribuições desenvolvidas pela unidade de exercício do servidor;

XXXVII - Virtual Private Network (VPN): forma de comunicação que permite que uma ou mais máquinas acessem uma rede privada, utilizando como infraestrutura as redes públicas, tais como a internet, nas quais os dados trafegam na rede de forma segura, utilizando encapsulamento, criptografia e autenticação.

Art. 6º - São diretrizes da PSI/CGE:

I – tratamento da informação: a CGE trata os dados sob custódia do órgão de forma proporcional e não excessiva, na quantidade necessária ao cumprimento de suas obrigações legais, execução de políticas públicas e regular exercício das competências previstas na Lei nº 24.313, de 28 de abril de 2023, no Decreto nº 48.687, de 13 de setembro de 2023, no Decreto nº 48.041, de 17 de setembro de 2020 e outras legislações pertinentes;

II – proteção da informação: as informações geradas, adquiridas, armazenadas, processadas, transmitidas e descartadas pelas unidades administrativas da CGE devem ter mecanismos de proteção adequados, baseados em controles, procedimentos e tecnologias implementadas e aprovados pelo Comitê de Governança de Tecnologia e Segurança da Informação – CGTSI, de forma a resguardar sua confidencialidade, integridade, disponibilidade, autenticidade e o seu uso em conformidade com os princípios que regem a Administração Pública, sendo que as técnicas de proteção da informação devem estar em conformidade com a legislação vigente, com o Código de Conduta Ética do Servidor Público e da Alta Administração Estadual, com o Código de Conduta Ética do Servidor em Exercício na Controladoria-Geral do Estado e nas Unidades Setoriais e Seccionais de Controle Interno, com as versões vigentes das normas de segurança da informação da família ABNT ISO 27000 e com a LGPD;

III – classificação da informação: as informações devem ser classificadas de forma a serem protegidas adequadamente, conforme legislação prevista para cada tipo de informação no âmbito da CGE, levando em consideração a Lei Federal nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação – LAI) e a LGPD;

IV – controle de acesso às informações: toda informação utilizada pelas unidades da CGE deve ter seu acesso controlado e o uso permitido apenas aos usuários devidamente autorizados, sendo que as informações relacionadas à pessoa natural identificada ou identificável que estejam em tratamento na CGE devem ter seu acesso e uso controlado e restringido, visando à garantia do direito individual e coletivo das pessoas, da inviolabilidade, da intimidade, do sigilo das informações, dos direitos fundamentais de liberdade e de privacidade e do livre desenvolvimento da personalidade da pessoa natural, nos termos previstos em Lei e na Constituição Federal de 1988;

V – educação em segurança da informação: os usuários da CGE devem ser instruídos para a correta e segura utilização das informações, dos recursos físicos e computacionais e dos sistemas e serviços disponibilizados pelo órgão, por meio da oferta de treinamentos e capacitações, da elaboração e envio de informativos e comunicados sobre o tema e do esclarecimento de dúvidas, de forma a resguardar a confidencialidade, integridade, disponibilidade, autenticidade das informações e o seu uso em conformidade com os princípios que regem a Administração Pública;

VI – segurança da informação: a segurança da informação é dever e responsabilidade de todos os usuários, que devem zelar pela segurança das informações a que tenham acesso com base no disposto nesta Instrução Normativa e demais documentos elaborados pelo CGTSI;

VII – gestão de continuidade de negócios: a CGE deve elaborar e manter atualizado o plano de continuidade de negócios em conformidade com os objetivos estratégicos do órgão, de forma a reduzir os impactos decorrentes das interrupções de sistemas, aplicações e/ou serviços críticos ocasionadas por desastres, incidentes de segurança da informação ou outros eventos, inclusive determinações de órgãos reguladores ou do Poder Judiciário;

VIII – gestão de riscos de segurança da informação: a CGE deve implementar e manter um processo de gestão de riscos de segurança da informação, implementado com base nas diretrizes e regras estabelecidas na legislação correlata no âmbito da CGE e na LGPD, com o intuito de minimizar possíveis impactos à confidencialidade, à integridade e à disponibilidade das informações do órgão, por meio da seleção e priorização dos ativos e processos de negócio a serem protegidos, bem como da definição e implantação de controles para a identificação e tratamento das vulnerabilidades de segurança, sendo que as medidas de proteção devem ser planejadas e os custos na aplicação de controles devem ser sobrepesados conforme eventuais danos que venham a ocorrer;

IX – gestão de mudanças: a gestão de mudanças no âmbito da CGE deve contemplar atividades relativas à análise de riscos, execução e validação da mudança, recuperação em casos de falhas e monitoramento da recuperação, permitindo minimizar o impacto das interrupções dos serviços, acelerar o processo de implementação das mudanças, acompanhar o progresso das mudanças na infraestrutura, tornar o processo mais transparente, melhorando a comunicação com as partes interessadas, identificar, de forma rápida, a implementação de quaisquer alterações se algo der errado e melhorar a estimativa de custo para quaisquer alterações propostas;

X – gestão de incidentes: a CGE deve estabelecer, implementar e manter um sistema de gestão de incidentes em segurança da informação que contemple os processos para registro, análise e tratamento dos incidentes, sendo os usuários conscientizados sobre a importância de efetuarem o registro dos incidentes de segurança da informação de que tiverem ciência, bem como sobre a forma adequada de fazê-lo;

XI - desenvolvimento de sistemas, serviços e aplicações corporativas: o desenvolvimento de sistemas, serviços e aplicações corporativas ou departamentais para os ambientes analíticos e/ou transacionais pelas unidades administrativas da CGE deverá observar as diretrizes estabelecidas pelo CGTSI;

XII - auditoria da segurança da informação: as trilhas (logs) de auditoria de segurança da informação desenvolvidas pelo CGTSI são essenciais para a obtenção dos registros cronológicos importantes para a órgão e asseguram o fluxo preciso das transações em um sistema ou ambiente computacional, por meio do conjunto de registros de origem e/ou destino, além de fonte de registros que fornecem evidências da sequência de atividades que afetaram, em qualquer tempo, uma operação, procedimento específico, ou evento.

CAPÍTULO II

REGRAS GERAIS

Seção I

Acesso lógico

Art. 7º - O acesso lógico, local ou remoto, aos sistemas, aplicações e serviços disponibilizados pela CGE é feito por meio de autenticação empregando login e senha ou certificado digital, sendo responsabilidade do usuário manter o sigilo de todas as suas senhas, que são de uso pessoal e intransferível, bem como cuidar do certificado digital fornecido pela CGE.

Art. 8º - Sempre que possível, será habilitado o duplo fator de autenticação para acesso aos sistemas, aplicações e serviços disponíveis no ambiente da CGE visando aumentar a segurança institucional.

Art. 9º - Os acessos lógicos são restritos às atividades profissionais do usuário e suficientes ao desempenho de suas tarefas.

Art. 10º - A concessão, a alteração e o bloqueio de acesso lógico ao diretório Active Directory (AD) e aos sistemas, aplicações e serviços da CGE deverá observar o disposto no Procedimento Operacional Padrão (POP) Concessão de Acesso Lógico.

Art. 11 - As permissões de acesso dos usuários, inclusive os usuários em licença ou afastamento, aposentados, falecidos, transferidos ou desligados aos sistemas da CGE e de terceiros, ou de seus benefícios, serão revogadas quando o fato for informado à Diretoria de Tecnologia da Informação e Comunicação - DTIC e aos administradores do sistema pelas chefias imediatas ou mediatas ou pela Superintendência de Planejamento, Gestão e Finanças - SPGF.

Art. 12 - Os usuários afastados para aposentadoria terão o acesso à rede da CGE bloqueado quando o fato for informado pela SPGF à DTIC, sendo que a revogação total dos acessos se dará somente quando ocorrer a publicação definitiva da aposentadoria.

Art. 13 - A cessão, a alteração e o cancelamento de acesso com privilégio de administrador na rede corporativa e nas estações de trabalho devem observar o disposto no Procedimento Operacional Padrão - POP Concessão de Acesso Lógico.

Seção II

Política de senhas

Art. 14 - Os sistemas, aplicações e serviços da CGE devem ser configurados para bloquear o acesso do usuário automaticamente após 03 (três) tentativas incorretas e consecutivas de logon, assim como fornecer senha temporária, obrigatoriamente alterada no primeiro acesso.

Art. 15 – Os detalhamentos e as regras relacionadas à política de senhas estarão dispostas no POP Concessão de Acesso Lógico.

Seção III

Teletrabalho

Art. 16 - Durante o exercício do teletrabalho, os usuários devem manter cuidados especiais com o intuito de reduzir a exposição a ameaças cibernéticas no ambiente de teletrabalho, tais como:

I - usar conexões seguras para se conectar à rede da CGE;

II - não se conectar à rede da CGE por meio de serviço de Wi-Fi público desprotegido, exceto em situações de extrema necessidade;

III - não armazenar dados e informações fora do ambiente controlado e monitorado pela CGE, como sistemas, serviços e aplicações corporativos, estações de trabalho patrimoniadas, servidores de arquivos e serviços de nuvem homologados pela DTIC, exceto em situações de extrema necessidade;

IV - certificar-se de que seu equipamento particular possui sistema operacional, aplicativos e demais ferramentas atualizadas;

V - utilizar biometrias, quando disponíveis no equipamento particular, e senhas fortes, habilitando, sempre que disponível, a autenticação de dois fatores nos sistemas, serviços e aplicações;

VI - não imprimir e armazenar documentos em papel com informações confidenciais em ambiente fora das unidades da CGE, exceto em situações de extrema necessidade.

Art. 17 - O acesso remoto à rede corporativa da CGE ocorrerá somente por meio de Virtual Private Network – VPN.

Seção IV

Certificado digital

Art. 18 - O fornecimento de certificado digital se dará por meio de solicitação formal do responsável da unidade administrativa, acompanhada da justificativa do uso do dispositivo para as atividades laborais.

Art. 19 - O uso do certificado digital é individual, pessoal e intransferível, sendo responsabilidade dos usuários a guarda do dispositivo token e das senhas.

Art. 20 - Os certificados digitais deverão ser revogados quando constatada a danificação, a perda, o extravio ou o roubo da senha de acesso ou dos dispositivos utilizados para seu armazenamento.

Seção V

Correio eletrônico

Art. 21 - O serviço de correio eletrônico disponibilizado aos usuários é de propriedade da CGE, sendo seu uso obrigatório e restrito às atividades profissionais.

Art. 22 - A CGE reserva para si o direito de monitorar o uso dos serviços de correio eletrônico, de armazenamento em nuvem e de comunicação instantânea institucionais, bem como o conteúdo das mensagens, arquivos e informações.

Art. 23 - Quando houver ameaça à segurança das informações ou quando constatado o uso indevido do serviço de correio eletrônico, a DTIC poderá reter mensagens e arquivos, bem como bloquear temporariamente o usuário, registrando o fato como incidente de segurança da informação.

Art. 24 - A CGE se reserva o direito de possuir e implantar ferramentas de análise de conteúdo de e-mails com o objetivo de prevenir o recebimento de mensagens maliciosas ou indesejadas, que possam colocar em risco a infraestrutura de TI.

Art. 25 - O serviço de correio eletrônico é uma ferramenta usada para compartilhamento de informações e arquivos, porém sem garantia de entrega ou recebimento da mensagem, cujo aviso de recebimento e sua confirmação devem ser solicitados quando a garantia de entrega for essencial.

Seção VI

Equipamentos móveis

Art. 26 - Os equipamentos móveis disponibilizados aos usuários são de propriedade da CGE, sendo seus usos restritos às atividades profissionais.

Art. 27 – O CGTSI poderá realizar auditorias de conformidade em todos os dispositivos móveis de propriedade da CGE, mediante solicitação ou autorização do Corregedor-Geral ou do Controlador-Geral do Estado.

Art. 28 - É vedada a utilização de equipamentos particulares na rede corporativa da CGE, ressalvado o uso de equipamento pessoal para acessar o serviço de VPN.

Art. 29 - A CGE não se responsabiliza pelo uso de softwares sem licenças, instalação de hardwares e manutenções nos dispositivos móveis particulares.

Art. 30 - É de inteira responsabilidade do usuário a configuração do dispositivo particular conforme as regras de segurança definidas pela CGE.

Seção VII

Estação de trabalho

Art. 31 – As estações de trabalho disponibilizadas aos usuários devem ter seus usos restritos às atividades profissionais.

Art. 32 – As estações de trabalho só poderão ser utilizadas após a assinatura do Termo de Responsabilidade pelo seu usuário.

Art. 33 – Os usuários das estações de trabalho só poderão utilizar aplicativos desktops homologados pela DTIC.

Art. 34 – A concessão de privilégios de administrador nas estações de trabalho é restrita, devendo o pedido ser formalizado pelo responsável pela unidade administrativa e aprovada pela DTIC.

Art. 35 – O CGTSI poderá realizar verificação de logs e registros de conformidade em todas as estações de trabalho da CGE mediante solicitação ou autorização do Corregedor-Geral ou do Controlador-Geral do Estado.

Art. 36 – Todos os serviços de expansão, substituição ou manutenção das estações de trabalho serão executados somente pela DTIC ou sob a sua supervisão.

Art. 37 - É vedado aos usuários a aquisição e instalação de qualquer hardware ou periférico nas estações de trabalho da CGE, salvo se devidamente autorizado pela DTIC.

Seção VIII

Armazenamento de dados

Art. 38 - Os servidores de arquivos disponibilizados na rede corporativa serão utilizados exclusivamente para armazenamento de arquivos que contenham informações relacionadas aos processos e negócios da CGE.

Art. 39 - A utilização do espaço nos servidores de arquivo da CGE é limitada, controlada e monitorada.

Art. 40 - O CGTSI poderá auditar a utilização do espaço disponibilizado a fim de identificar arquivos em desacordo com as diretrizes supracitadas e consequentemente tomar as providências cabíveis.

Art. 41 - Os usuários utilizarão o armazenamento em nuvem institucionalizado pela CGE e/ou os diretórios da rede corporativa, com acesso restrito ao grupo de usuários que as utilizam, para o armazenamento dos arquivos de trabalho.

Art. 42 - A CGE incentivará a adoção gradual do serviço de nuvem para armazenamento dos dados corporativos, tendo como diretrizes os princípios de confidencialidade, integridade e disponibilidade da segurança da informação.

Art. 43 - O compartilhamento de arquivos com o público externo deverá seguir o disposto em lei, observados os princípios da segurança da informação.

Art. 44 - É vedado o armazenamento de dados e informações de trabalho no disco local.

Seção IX

Uso da internet

Art. 45 - O serviço de internet é disponibilizado pela CGE para execução das atividades profissionais dos usuários.

Art. 46 - Os usuários deverão utilizar a internet em conformidade com a lei, com a ordem pública, com o Código de Conduta de Ética do Agente Público e da Alta Administração Estadual e o Código de Conduta Ética do Servidor em Exercício na Controladoria-Geral do Estado e nas Unidades Setoriais e Seccionais de Controle Interno.

Art. 47 - É facultado ao usuário o emprego da internet para a melhoria de sua qualificação profissional, desde que autorizado pela sua chefia imediata.

Art. 48 - A CGE poderá monitorar o uso da internet disponibilizada aos usuários, implantando recursos e programas de computador que registrem cada acesso à internet e à rede corporativa da CGE.

Art. 49 – Os usuários devem zelar pelo bom uso da internet, respeitando direitos autorais, regras de licenciamento de software, direitos de propriedade, privacidade e proteção de propriedade intelectual.

Art. 50 - O acesso à internet pela rede corporativa deverá ser efetuado somente por equipamentos autorizados pela DTIC.

Art. 51 - A CGE poderá bloquear o acesso a arquivos e sites não autorizados que comprometam o uso de banda da rede ou que exponham a rede à riscos de segurança.

Art. 52 – O detalhamento e as regras relacionadas à política de uso do serviço de internet estarão dispostas no POP Uso da internet.

Seção X

Proteção de dados pessoais

Art. 53 - A CGE deverá atender aos dispositivos da Lei Federal nº 13.709, de 2018, e do Decreto nº 48.237, de 22 de julho de 2021, assim como as orientações e normativos da Autoridade Nacional de Proteção de Dados – ANPD, com o objetivo de proteger os direitos fundamentais de liberdade, de privacidade e do livre desenvolvimento da personalidade da pessoa natural.

Art. 54 - As atividades relativas ao tratamento de dados pessoais deverão observar a boa-fé, os princípios, requisitos, fundamentos e hipóteses presentes na LGPD.

Seção XI

Ferramentas de comunicação corporativa

Art. 55 – O Microsoft Teams, de uso obrigatório para todos os usuários da CGE, é a ferramenta institucional de comunicação e colaboração, com recursos de mensagens instantâneas, chamadas e vídeos, além de ferramentas para elaboração colaborativa de documentos e integração de aplicativos.

Art. 56 - O detalhamento e as regras relacionadas às ferramentas de comunicação corporativa estarão dispostos no POP Uso da internet.

Seção XII

Reuniões virtuais

Art. 57 - É permitida a participação dos agentes públicos em videoconferência utilizando a internet para tratar de assuntos institucionais.

Art. 58 - A ferramenta institucional da CGE para a realização de reuniões virtuais é o Microsoft Teams, sendo permitido a utilização de outras ferramentas de forma excepcional, quando necessárias.

Art. 59 - No caso de inexistência da versão web, a instalação dos aplicativos na versão desktop das demais ferramentas de realização de reuniões virtuais dependerá de análise e homologação da DTIC.

CAPÍTULO III

RECOMENDAÇÕES, RESPONSABILIDADES E VEDAÇÕES

Art. 60 – É recomendando aos usuários a adoção das seguintes práticas de segurança da informação:

I - trocar a senha sempre que existir qualquer indício de comprometimento do sistema, do serviço ou da própria senha;

II - configurar, sempre que estiver disponível, o duplo fator de autenticação (DFA) com vistas a aumentar a segurança nos serviços, sistemas e aplicações disponibilizados pela CGE;

III - não utilizar a senha de acesso aos sistemas, serviços e aplicações da CGE em ambientes externos;

IV - evitar o acesso remoto à rede corporativa da CGE em locais públicos;

V - utilizar o crachá de identificação somente no exercício das atividades funcionais; VI - manter a mesa de trabalho sempre limpa, sem papéis e mídias exposta;

VII - evitar discutir assuntos relacionados às atividades profissionais em locais públicos;

VIII - não abrir mensagens de correio eletrônico cujo assunto, remetente ou conteúdo sejam de origem desconhecida ou contendo links e arquivos suspeitos;

IX - não divulgar o endereço eletrônico fornecido pela CGE para recebimento de mensagens particulares, alheias aos interesses do órgão;

X - não deixar os equipamentos móveis sob sua responsabilidade desprotegidos;

XI - não armazenar arquivos que contenham informações da CGE em equipamentos e mídias particulares;

XII - evitar alimentar-se, fumar ou ingerir líquidos próximo às estações de trabalho ou equipamentos eletrônicos fornecidos pela CGE;

XIII - evitar utilizar outro serviço de correio eletrônico que não seja o institucional nos equipamentos conectados à rede corporativa;

XIV - compartilhar assuntos de trabalho, em qualquer local, dentro ou fora do ambiente corporativo, a partir de qualquer tipo de canal, mídia, ferramenta ou tecnologia, respeitando a ética, a legislação vigente e cumprindo com seu dever de sigilo profissional, aplicando a melhor técnica disponível para garantir a segurança da informação no nível exigido pela relevância dela;

XV - tratar dados pessoais observadas as regras da Lei Federal nº 13.709, de 2018, e do Decreto nº 48.237, de 2021.

Art. 61 – São responsabilidades dos usuários:

I - conhecer e cumprir integralmente todas as diretrizes e regras da Política de Segurança da Informação da CGE, bem como os procedimentos, regulamentos e instruções de trabalho;

II - responder pelo uso de sistemas, serviços por meio de sua identificação;

III - responder pelo uso do equipamento móvel sob sua responsabilidade;

IV - utilizar obrigatoriamente os sistemas disponibilizados pela CGE ou sistemas obrigatórios por lei para enviar e receber informações;

V - utilizar o crachá funcional de modo visível durante sua permanência nas instalações da CGE;

VI - avisar formalmente a chefia imediata ou, na sua ausência, a chefia mediata:

a) a perda, o furto ou o desaparecimento de ativos da CGE;

b) a presença de pessoas desconhecidas e sem identificação nas dependências da CGE;

c) os incidentes de segurança da informação, registrando-os em ferramenta disponibilizada pela CGE no momento da constatação do fato;

VII – apresentar à área responsável pelo patrimônio da CGE, em caso de furto, roubo ou extravio de dispositivos móveis, o Boletim de Ocorrência Policial, no prazo máximo de 48 (quarenta e oito) horas do fato ocorrido;

VIII - conscientizar o público externo de sua circunscrição acerca da importância da segurança das informações na CGE e do cumprimento do disposto nesta política;

IX - sugerir medidas que possam elevar os níveis de segurança das instalações na sua área de atuação;

X - devolver o crachá à área de recursos humanos ao término do contrato de trabalho, nos casos de exoneração de cargo efetivo, aposentadoria ou desligamento do órgão ou entidade;

XI - utilizar adequadamente os recursos institucionais;

XII - guardar documentos físicos que contenham informações sigilosas ou dados pessoais de forma segura e em locais adequados;

XIII - imprimir documentos, caso sejam sigilosos ou que contenham dados pessoais, utilizando impressoras com proteção por meio de senhas ou permanecer próximo à impressora, no momento de sua emissão;

XIV - zelar pela guarda do dispositivo de armazenamento do certificado digital e pela senha de acesso ao dispositivo.

Art. 62 – São responsabilidades dos responsáveis pelas unidades administrativas da CGE:

I - cumprir, fazer cumprir e orientar usuários sob sua coordenação em relação ao cumprimento da Política de Segurança da Informação da CGE;

II - monitorar as atividades de parceiros e contratados sob sua responsabilidade;

III - colaborar com o CGTSI no aperfeiçoamento da Política de Segurança da Informação do órgão;

IV - propor ao CGTSI mudanças na Política de Segurança da Informação conforme as necessidades detectadas na sua área de atuação;

V – reportar imediatamente ao CGTSI os incidentes de segurança detectados, inclusive suspeitas ou ameaças de incidentes;

VI – informar imediatamente à Diretoria de Recursos Humanos da CGE e registrar no sistema SIS Alerta todas as movimentações de agentes públicos sob sua coordenação, para que sejam providenciados ajustes nas permissões de acesso a serviços e sistemas mantidos ou utilizados pela CGE;

VII - monitorar, como primeira linha de defesa, o cumprimento das normas de segurança da informação, detectando exceções e anomalias, níveis de segurança e incidentes, dentre outros.

Art. 63 – São responsabilidades do administrador de sistemas:

I - cumprir e fazer cumprir a PSI/CGE;

II - realizar a gestão dos usuários da aplicação ou sistema sob sua responsabilidade;

III - manter os dados cadastrais dos usuários da aplicação ou sistema sob sua responsabilidade atualizados;

IV - reportar, de imediato, ao CGTSI, os incidentes de segurança detectados, inclusive suspeitas ou ameaças de incidentes;

V - fornecer suporte ao usuário quando solicitado;

VI - solicitar apoio e consultoria de segurança ao CGTSI quando se fizer necessário;

VII –revisar, pelo menos 1 (uma) vez por ano, os direitos de acesso dos usuários e realizar as alterações necessárias.

Art. 64 – São responsabilidades da DTIC:

I - cumprir e fazer cumprir a PSI/CGE;

II - manter os sistemas computacionais e de comunicação em conformidade com a PSI/CGE;

III - disponibilizar os recursos de TI necessários à implantação da PSI/CGE;

IV - manter os dados cadastrais dos usuários da rede corporativa, bem como do correio eletrônico, atualizados;

V - reportar incidentes de segurança da informação à área responsável pela segurança da informação;

VI - monitorar os logs dos sistemas;

VII - acompanhar a realização de manutenção, corretiva ou preventiva, nos servidores e subsistemas de armazenamento da rede corporativa do órgão ou entidade quando a manutenção for realizada por terceiros no ambiente do órgão ou entidade;

VIII - fornecer suporte ao usuário quando solicitado, por meio da abertura de chamado disponibilizado pela DTIC;

IX - solicitar apoio e consultoria de segurança da informação ao CGTSI quando se fizer necessário;

X - instalar e configurar as estações de trabalho;

XI - manter um inventário atualizado das estações de trabalho e dos softwares;

XII - desenvolver e manter um padrão de instalação e configuração de estações de trabalho aderente aos critérios estabelecidos nesta Política;

XIII - configurar os programas de computador e equipamentos para garantir a utilização dos critérios relativos às senhas de acesso definidos no Procedimento Operacional Padrão (POP) Concessão de Acesso Lógico;

XIV - documentar toda a infraestrutura de TIC da CGE, tais como tipo de equipamento, patrimônio, localização física, data da aquisição, prazo de garantia, etc;

XV - controlar e descartar os Hard Disks (HDs) e mídias removíveis, quando necessário;

XVI - disponibilizar e administrar a infraestrutura necessária para armazenamento de dados;

XVII - disponibilizar e administrar os recursos de acesso à internet;

XVIII - solicitar para Intendência da Cidade Administrativa o relatório de utilização da internet, quando necessário;

XIX - solicitar para Intendência da Cidade Administrativa o relatório de acessos indevidos à internet, quando necessário;

XX - orientar os usuários em relação à proteção adequada dos dispositivos móveis; XXI - configurar os dispositivos móveis disponibilizados para os usuários da CGE;

XXII - instalar, homologar, manter, atualizar e configurar todos os servidores, subsistemas de armazenamento e programas de computador que componham as soluções de backup e restore utilizadas pela CGE;

XXIII - definir os recursos e ferramentas que serão utilizados em cada procedimento de backup e restore;

XXIV - documentar os procedimentos de backup e restore; XXV - eliminar o conteúdo das mídias que serão descartadas;

XXVI - gerenciar e controlar os recursos computacionais e as mídias utilizadas pelos sistemas de backup e restore da CGE;

XXVII - realizar testes de validação e desempenho das cópias de segurança realizadas;

XXVIII - disponibilizar os recursos existentes, quando necessários para a execução das funções de auditoria;

XXIX - analisar e despachar os expedientes relativos a solicitações de usuários encaminhadas pelos respectivos responsáveis por suas unidades;

XXX - administrar o acesso remoto (VPN) à rede da CGE;

XXXI - definir os softwares autorizados que poderão ser instalados nas estações de trabalho;

XXXII - administrar as redes corporativas da CGE;

XXXIII - manter a documentação da topologia da rede atualizada e controlar o acesso ao seu conteúdo

XXXIV - solicitar liberação e bloqueio de portas dos firewalls sob administração da PRODEMGE

XXXV - solicitar para PRODEMGE o relatório de utilização do funcionamento da solução de network IDS/IPS, quando necessário;

XXXVI - instalar, homologar, manter e configurar todos os equipamentos de responsabilidade da CGE;

XXXVII - definir e implementar rotina automatizada para a cópia das configurações e dados dos equipamentos de conectividade para um servidor de arquivos contemplado por uma das rotinas de backup/restore;

XXXVIII - elaborar e manter atualizado procedimento de instalação e configuração da rede;

XXXIX - administrar a cessão, a alteração, o bloqueio e o cancelamento de acessos à rede corporativa;

XL - revisar, por meio dos relatórios encaminhados pela DRH e Responsável de unidade, pelo menos 1 (uma) vez por ano, os direitos de acesso dos usuários da rede corporativa e realizar as alterações necessárias;

XLI - revisar, pelo menos a cada 6 (seis) meses, os direitos de acesso com privilégios de administrador e realizar as alterações necessárias;

XLII - solicitar para Intendência o relatório das conexões remotas realizadas, quando necessário.

Art. 65 – São responsabilidades do Comitê de Governança de Tecnologia e Segurança da Informação - CGTSI:

I - dirimir conflitos, solver omissões e suprir lacunas relacionados à Política de Segurança da Informação da CGE;

II - atuar como área de segurança da informação da CGE;

III – propor a PSI/CGE ao Comitê Estratégico de Governança - CEG;

IV - expedir orientações e procedimentos operacionais padrões;

V – exercer demais atribuições previstas no Regimento Interno do CGTSI.

Parágrafo único – É responsabilidade do CEG deliberar sobre as propostas da PSI/CGE.

Art. 66 – São responsabilidades da Diretoria de Recursos Humanos:

I - manter atualizadas as movimentações de pessoal da CGE e informar, mensalmente, as alterações, inclusive desligamentos, à DTIC e aos administradores dos sistemas;

II - solicitar aos usuários a assinatura do Termo de Ciência da Política de Segurança da Informação.

Art. 67 – São responsabilidades da Assessoria de Comunicação Social:

I - auxiliar o CGTSI e a DTIC na elaboração de campanhas relacionadas à conscientização em segurança da informação;

II - elaborar e executar, em parceria com a CGTSI, um plano de comunicação desta Política de Segurança da Informação e demais assuntos pertinentes a Segurança da Informação;

III - produzir identidade visual, materiais gráficos, textos publicitários e conteúdo multimídia para divulgação da Política de Segurança da Informação no âmbito da CGE.

Art. 68 – São responsabilidades da Corregedoria-Geral:

I - adotar as medidas administrativas necessárias para apurar eventuais descumprimentos da PSI/CGE, de ofício ou mediante provocação do CGTSI, nos termos da legislação vigente;

II - participar da elaboração dos parâmetros para retenção e armazenamento dos dados obtidos nas auditorias de segurança da informação e de conformidade realizadas pelo CGTSI;

III – adotar demais medidas correlatas, de acordo com suas atribuições e competências.

Art. 69 – É vedado aos usuários:

I - instalar qualquer hardware ou software em estações de trabalho e dispositivos móveis da CGE sem a autorização formal da DTIC;

II - emprestar o dispositivo móvel corporativo a terceiros;

III - divulgar dados de configuração de acesso da rede corporativa da CGE;

IV - acessar, armazenar, divulgar ou repassar qualquer material ligado à pornografia ou que implique na violação de quaisquer leis ou incentive crimes;

V - armazenar e acessar dados ou informações não ligados às atividades profissionais;

VI - acessar, propagar ou armazenar qualquer tipo de conteúdo malicioso, malware, vírus, worms, cavalos de tróia ou programas de controle de outros computadores;

VII - tratar assuntos relacionados ao trabalho em outros softwares de comunicação instantânea, mensageiros instantâneos ou programas de computador que permitam a comunicação imediata e direta entre usuários e grupos de usuários por meio da internet, em dispositivos pessoais e na rede corporativa, tais como Facebook, WhatsApp, Instagram e afins, exceto quando solicitado ao CGTSI e não for possível a comunicação por meio da ferramenta institucional de comunicação e colaboração;

VIII - fazer download de softwares não autorizadas e de mídias não ligadas às atividades profissionais;

IX - utilizar programas de computador, ferramentas, utilitários ou artifícios quaisquer para burlar os mecanismos de segurança estabelecidos pela CGE;

X - violar os lacres das estações de trabalho, ou de qualquer outro equipamento, ou ainda, abrir equipamentos mesmo que estejam sem lacres;

XI - registrar senha em meios físicos ou em qualquer outro meio que coloque em risco a sua confidencialidade;

XII - fornecer a senha de acesso à qualquer sistema/serviço do órgão ou entidade para outro usuário;

XIII - acessar qualquer sistema ou serviço da CGE por meio da identificação de outro usuário;

XIV - tentar obter acesso não autorizado, como tentativas de fraudar autenticação de usuário ou segurança de qualquer servidor, rede ou conta de acesso. Isso inclui acesso aos dados não disponíveis para o usuário, conectar-se a servidor ou conta cujo acesso não seja expressamente autorizado ao usuário ou colocar à prova a segurança de outras redes;

XV - utilizar senhas compartilhadas para acesso a qualquer recurso computacional do órgão ou entidade, exceto nos casos em que seja impossível a implantação de senha individual e devidamente autorizado pela área responsável;

XVI - tentar interferir nos serviços de qualquer outro usuário, servidor ou rede, inclusive ataques do tipo negação de serviço - DoS e DDoS, provocar congestionamento em redes, tentativas deliberadas de sobrecarregar ou invadir um servidor;

XVII - conectar equipamentos particulares à rede corporativa sem prévia autorização da área de segurança da informação;

XVIII - acessar as estações de trabalho sem autorização do responsável pela unidade;

XIX - movimentar as estações de trabalho, periféricos e ou equipamentos de rede sem autorização da DTIC;

XX - incluir senhas em processos automáticos, como por exemplo, em arquivos de dados, programas de computador, macros, scripts, ferramentas, teclas de função ou outros, exceto se autorizado pela área de Segurança da Informação e desde que, comprovadamente, não haja comprometimento à segurança da informação;

XXI - armazenar informações corporativas da CGE em diretórios (pastas) públicos(as);

XXII - utilizar serviços de nuvem pública não coorporativos como DropBox, GoogleDrive, iCloud, entre outros, para armazenar informações da CGE;

XXIII - desativar o antivírus instalado nos equipamentos da CGE ou realizar qualquer alteração nas configurações da ferramenta;

XXIV – realizar o compartilhamento externo de qualquer software sem a autorização expressa da DTIC ou de dados sob custódia da CGE sem a autorização do responsável competente.

CAPÍTULO IV

DISPOSIÇÕES FINAIS

Art. 70 - O não cumprimento desta política por parte dos usuários sujeitará o responsável à suspensão temporária do acesso aos recursos informacionais e de comunicação da CGE e às penalidades previstas em Lei.

Art. 71 - Os detalhamentos das regras gerais estabelecidas nesta política estão descritos nos Procedimentos Operacionais Padrão (POP), Regulamentos (REG) e Instruções de Trabalho (IT), elaborados pelo CGTSI, classificados por tema e disponíveis na Intranet da CGE.

Art. 72 - Dúvidas, críticas e sugestões referentes a esta Política de Segurança da Informação devem ser encaminhadas ao CGTSI da CGE.

Art. 73 – A PSI/CGE deverá ser revista no prazo máximo de 03 (três) anos.

Art. 74 - Esta Resolução entra em vigor noventa dias a partir da data de sua publicação.

Belo Horizonte, 28 de junho de 2024.

RODRIGO FONTENELLE DE ARAÚJO MIRANDA
CONTROLADOR-GERAL DO ESTADO

Este texto não substitui o publicado no Diário Oficial do Estado.

Publicação Diário do Executivo

CTL - Consultoria Técnico-Legislativa

Cidade Administrativa Presidente Tancredo Neves

Rodovia Papa João Paulo II, 4001
Edifício Tiradentes, 2º andar
Bairro Serra Verde - BH / MG
CEP: 31630-901

Nome do Remetente:
Email do Destinatário:
Mensagem:

Links

Enviar Legislação por Email