Legislação Informatizada - INSTRUÇÃO Nº 2, DE 25/11/2013 - Publicação Original
Veja também:
INSTRUÇÃO Nº 2, DE 25/11/2013
Regulamenta os procedimentos para acesso de leitura e de escrita aos dados operacionais da infraestrutura computacional corporativa.
O DIRETOR DO CENTRO DE INFORMÁTICA, no uso das atribuições que lhe conferem o artigo 2° da Resolução da Câmara dos Deputados n° 16, de 21 de janeiro de 1997, combinado com os incisos I, II e IV, todos do art. 253 da Resolução da Câmara dos Deputados n° 20, de 30 de novembro de 1971;
CONSIDERANDO a necessidade de assegurar que os dados operacionais dos sistemas de informação mantidos pelo Centro de Informática recebam adequada proteção contra corrupção, destruição, modificação não regulamentar, remoção e acessos não autorizados, de acordo com o seu valor, com os requisitos legais, com seu grau de sigilo, importância e sensibilidade;
CONSIDERANDO a necessidade de assegurar a disponibilidade e continuidade de serviços críticos de Tecnologia da Informação e Comunicações, a qualidade de dados, a correção de falhas ou situações de erros produzidos pelos sistemas de informação, infraestrutura e outras situações de fato não previstas pelos sistemas de informação em produção e que impõem a intervenção direta das equipes técnicas do Centro de Informática; e
CONSIDERANDO as diretrizes estabelecidas pela Política de Segurança da Informação na Câmara dos Deputados que foram instituídas pelo Ato da Mesa n. 45, de 16 de julho de 2012, RESOLVE:
Art. 1° O acesso direto e a cópia de dados operacionais mantidos pelo Centro de Informática obedecerão o disposto nesta norma.
Art. 2° Para os fins deste regulamento aplicam-se os seguintes termos e definições:
I - Acesso direto aos dados operacionais: é qualquer acesso aos dados operacionais que não seja mediado e controlado por sistema de informação específico;
II - Classificação: atribuição, pela autoridade competente, de grau de sigilo a dados, informações, documentos, materiais, áreas ou instalações da Instituição;
III - Cópia periódica de dados operacionais: é aquela que ocorre a intervalos fixos ou regulares, como, p.e., para aprovisionar os ambientes de desenvolvimento e teste, para a geração de cópias de segurança ou para cumprir acordos para o provimento de bases de dados externas ou internas;
IV - Cópia eventual de dados operacionais: é aquela não planejada, motivada por situação não prevista como, p.e., para prevenir a perda ou corrupção iminente de dados, quando da implantação de novos sistemas ou softwares de aplicações em produção, quando houver razão de negócio ou quando houver necessidade de aplicação de mudanças em equipamentos, softwares ou procedimentos;
V - Dados operacionais: são todos os dados e informações produzidos pela Câmara dos Deputados, conservados nos bancos de dados dos sistemas de informação mantidos pelo Cenin em ambiente de produção, constituindo assim dados válidos e que são produzidos, mantidos e acessados pelos usuários autorizados no âmbito de suas atribuições;
VI - Dados operacionais públicos: são dados que não estão sujeitos a quaisquer limitações válidas de privacidade, de segurança ou de controle de acesso, que sejam reguladas por estatutos legais ou normativos.
VII - Descaracterização de dados: técnica utilizada para substituir, em uma cópia, os dados originais classificados com grau de sigilo, por outros, aleatórios ou provindos de um dicionário, para fins de teste de sistema ou de treinamento, garantindo o obscurecimento desses dados visando à preservação de sua confidencialidade;
VIII - Necessidade de conhecer: condição pessoal, inerente ao efetivo exercício de cargo, função, emprego ou atividade, indispensável para que uma pessoa possuidora de credencial de segurança tenha acesso a dados ou informações sigilosos.
Art. 3º Os dados operacionais deverão ser acessados pelos usuários credenciados, a priori, mediante o emprego dos sistemas de informações específicos.
DO ACESSO DE LEITURA
Art. 4° Os integrantes das equipes do Centro de Informática, no desempenho de suas atribuições e enquanto responsáveis técnicos pelos sistemas de informação e serviços de Tecnologia da Informação e Comunicações , e consideradas a classificação da informação, a necessidade de conhecer e as atribuições previstas nos artigos 11 e 12 do Ato da Mesa n° 47, de 16 de julho de 2012, têm permissão de acesso direto de leitura aos dados operacionais dos sistemas e serviços de Tecnologia da Informação e Comunicações nos quais atuam, salvo em caso de restrição explícita pelo Gestor de Negócio.
§1° O Gestor de Negócio deverá ser cientificado pelo Gestor Técnico.
§2° A necessidade de conhecer, inerente às tarefas e atividades do cargo, não garantem o acesso direto de leitura aos dados operacionais privados protegidos por Lei, especialmente os que decorrem de comunicação ou correspondência digital, nos termos da Lei n° 9.296, de 24 de julho de 1996.
§3° É condicionado à autorização do Gestor de Negócio, quando solicitado por terceiros, o fornecimento de dados ou informações relativas aos sistemas de informação aos quais a equipe técnica tenha acesso na forma do caput.
DO ACESSO DE ESCRITA
Art. 5° O Gestor Técnico de um sistema de informação poderá, quando justificável, solicitar ao Gestor de Negócio responsável pelo respectivo sistema ou serviço o acesso direto de escrita aos dados operacionais, observado o seguinte:
I - A solicitação deverá ser por escrito, acompanhada da justificativa, da relação das pessoas que receberão a permissão, da data de início, do prazo e, sempre que possível, do registro de mudança ou da demanda do próprio Gestor de Negócio que motivou o pedido.
II - O meio de encaminhamento da solicitação fica a critério do Gestor Técnico solicitante.
III - Uma vez aprovada, a solicitação deve ser encaminhada à área competente do Centro de Informática em implementá-la, que configurará as permissões de acesso solicitadas, registrará a solução da solicitação e atualizará os registros de que trata o art . 7°.
IV - Após a comunicação da conclusão do acesso pela equipe solicitante, ou ao término do prazo informado na solicitação, a unidade do Centro de Informática responsável deverá revogar as permissões de acesso direto de escrita aos dados operacionais concedidas.
§1° São justificáveis as solicitações cujo objetivo, entre outros, vise a:
a) Corrigir erro ou falha, especialmente quando comprometer a disponibilidade de sistema de informação ou serviço.
b) Contornar situação não prevista pelo sistema de informação.
c) Corrigir problema de qualidade de dado armazenado.
d) Realizar carga de dados necessários à operação ou teste de sistema de informação ou serviço.
§2° Na ausência do Gestor de Negócios e em caráter excepcional e emergencial devidamente caracterizado, a autorização para o acesso direto de escrita aos dados operacionais poderá ser concedida pelo Diretor do Centro de Informática, por um dos seus Diretores de Coordenação ou um de seus Diretores de Áreas de Negócio.
§3° A concessão de autorização prevista n o §2° deverá ser comunicada ao Gestor de Negócios, com a devida fundamentação, na maior brevidade possível.
§4° A forma de registro, a execução, o acompanhamento e o controle das solicitações de acesso direto de escrita aos dados operacionais deverão observar o disposto nos processos organizacionais vigentes e nas ferramentas em uso no Centro de Informática.
§5° Não se aplicam os atributos "data de início" e "prazo da permissão" aos "scripts DML", ou afins equivalentes, utilizados para o acesso direto de escrita aos dados operacionais.
§6° O acesso direto de escrita aos dados operacionais não dispensa os registros de auditoria do banco de dados.
DA CÓPIA DE DADOS
Art. 6° O acesso das equipes do Centro de Informática, no desempenho de suas atribuições enquanto responsáveis técnicos pelos sistemas e serviços de Tecnologia da Informação e Comunicações, aos dados operacionais mediante cópia dos dados para ambiente distinto do de produção depende de autorização do Gestor de Negócio, que se manifestará sobre o assunto, em especial quanto à necessidade de descaracterização dos dados, sigilo e confidencialidade, observando-se o seguinte :
I - A solicitação de autorização deverá ser escrita, acompanhada da justificativa para a cópia, da relação das pessoas que terão acesso aos dados, da data de início, do prazo e do tipo da cópia, se eventual ou periódica.
II - A forma de encaminhamento da solicitação fica a critério do Gestor Técnico do sistema ou serviço, ou de seu superior hierárquico.
III - Uma vez aprovada, a solicitação deve ser encaminhada à área competente do Centro de Informática que configurará as rotinas de cópia solicitadas, registrará a solução da solicitação e atualizará os registros de que trata o art. 7°.
IV - Após o término do prazo informado na solicitação, a unidade solicitante do Centro de Informática descartará os dados.
§1° Na ausência do Gestor de Negócios e em caráter excepcional e emergencial devidamente caracterizado, a autorização para o acesso direto de escrita aos dados operacionais poderá ser concedida pelo Diretor do Centro de Informática, por um dos seus Diretores de Coordenação ou um de seus Diretores de Áreas de Negócio.
§2° A concessão de autorização prevista no §1° deverá ser comunicada ao Gestor de Negócios, com a devida fundamentação, na maior brevidade possível.
§3° A pedido do Centro de Informática e a critério do Gestor de Negócio, a autorização de que trata o caput deste artigo poderá ser concedida por prazo indeterminado.
§4° Uma vez autorizadas, as cópias poderão ocorrer a intervalos fixos e regulares, conforme a necessidade do serviço.
§5º Dados operacionais públicos prescindem de autorização para cópia.
DISPOSIÇÕES GERAIS
Art. 7° A unidade do Centro de Informática responsável pela configuração das permissões de acesso na infraestrutura computacional manterá registro atualizado acerca de todos os acessos de que tratam os arts. 5° e 6°, concedidos e revogados, incluindo-se o ponto e nome de cada solicitante, a data da solicitação, as datas de início e fim de cada permissão de acesso e a sua situação, se ativa ou não, para fins de controle, auditoria e acompanhamento gerencial.
Parágrafo único. O registro de que trata o caput deverá estar acessível internamente a todos os colaboradores do Centro de Informática .
Art. 8° A concessão a funcionário terceirizado de direito de acesso de escrita a dados de produção é condicionada à assinatura, pelo beneficiário do direito de acesso, de Termo de Responsabilidade específico, conforme Anexo 1 desta instrução.
Art. 9° Esta instrução entra em vigor sessenta dias após sua publicação.
LUIZ ANTÔNIO SOUZA DA EIRA, Diretor .
ANEXO I
TERMO DE RESPONSABILIDADE PARA ACESSO A DADOS OPERACIONAIS POR TERCEIRIZADO
IDENTIFICAÇÃO DA EMPRESA
Razão Social: |
CNPJ: |
Endereço da Sede: |
Endereço da Filial em Brasília: |
Nº do Contrato (se houver): |
IDENTIFICAÇÃO DO RESPONSÁVEL PELA EMPRESA
Nome do responsável: | |
Identidade: |
CPF: |
Endereço do local de trabalho: | |
Telefone: | |
E-mail: |
DECLARAMOS estar CIENTES das normas que se referem ao uso dos recursos computacionais providos pela Câmara dos Deputados, em especial do Ato da Mesa n° 47 de 16/07/2012 e da Portaria n° 34 de 31/03/2009.
DECLARAMOS estar CIENTES e ACEITAR que o órgão gestor dos recursos computacionais da Câmara dos Deputados poderá, a qualquer momento, suspender ou revogar a permissão de acesso aos dados operacionais concedida aos funcionários desta empresa.
DECLARAMOS estar CIENTE S e ACEITAR que, a fim de garantir o uso adequado do acesso a dados operacionais e para fins de apuração de possíveis ilícitos administrativos ou penais, o órgão gestor dos recursos computacionais da Câmara dos Deputados poderá monitorar sua utilização, na forma do que dispõem os artigos 10, 11 e 17 Portaria n° 34 de 31/03/2009, abaixo transcritos, com o que CONCORDAMOS expressamente ao subscrever este Termo.
"Art. 10. O monitoramento de equipamentos, de sistemas e da rede de dados da Câmara dos Deputados será feito pelo órgão gestor dos recursos computacionais, por meios eletrônicos, preservando-se, em todos os casos, o sigilo das comunicações, ressalvadas as hipóteses previstas em lei.
Art. 11. A Câmara dos Deputados poderá auditar os recursos computacionais por ela providos, a fim de verificar o cumprimento das disposições previstas em normas e leis aplicáveis, bem como assegurar-lhes adequada utilização.
(...)
Art. 17. O órgão gestor dos recursos computacionais, ao tomar conhecimento de fato que contrarie as disposições e normas que disciplinam o uso desses recursos, coletará evidências acerca da irregularidade praticada e, considerando o dano causado e o risco à integridade do ambiente computacional da Casa, comunicá-lo-á à autoridade superior."
COMPROMETEMO-NOS a manter atualizada a lista de funcionários da empresa aos quais tenha sido concedida a autorização de acesso a dados operacionais e a INFORMARMOS imediatamente ao gestor responsável pela concessão do acesso e ao órgão gestor dos recursos computacionais da Câmara dos Deputados todo afastamento temporário ou desligamento definitivo de qualquer dos funcionários aos quais for concedida esta autorização de acesso.
COMPROMETEMO-NOS a SOMENTE FAZER USO do acesso a dados operacionais NA FORMA RECOMENDADA na orientação de uso dada pela Câmara dos Deputados, e declaramos estar CIENTES de que o uso do acesso de forma distinta da recomendada implicará a revogação do direito de acesso aqui concedido, sem prejuízo de sanção e responsabilização em acordo com a legislação vigente.
Assinatura do Representante da Empresa |
Data |
RELAÇÃO DE FUNCIONÁRIOS AUTORIZADOS A ACESSAR DADOS OPERACIONAIS DE SISTEMAS DE INFORMAÇÃO DA CÂMARA DOS DEPUTADOS
Nome |
Matrícula na empresa |
Identidade |
CPF |
Assinatura | |||
Nome |
Matrícula na empresa |
Identidade |
CPF |
Assinatura | |||
Nome |
Matrícula na empresa |
Identidade |
CPF |
Assinatura |
AUTORIZAÇÃO DO GESTOR DE NEGÓCIO OU FISCAL DE CONTRATO RESPONSÁVEL PELA CONCESSÃO DO ACESSO A DADOS OPERACIONAIS
Nome |
Ponto |
Assinatura |
Data |
- Boletim Administrativo da Câmara dos Deputados - 26/11/2013, Página 3715 (Publicação Original)