DOE 23/04/2024 - Diário Oficial do Estado do Ceará
43
DIÁRIO OFICIAL DO ESTADO | SÉRIE 3 | ANO XVI Nº075 | FORTALEZA, 23 DE ABRIL DE 2024
3.1.10.Ocorrência de execução de vírus ou códigos maliciosos diversos;
3.1.11.Sobrecarga e indisponibilidade de serviços tecnológicos;
3.1.12.Vazamento de senhas de acesso a sistemas;
3.1.13.Invasão de áreas físicas ou ambientes restritos;
3.1.14.Perda, furto ou roubo de ativos institucionais ou de ativos pessoais que contenham dados institucionais.
3.2.Define-se nesta norma, como gestão de incidentes, o conjunto de práticas administrativas responsável por tratar o incidente de segurança da
informação, objetivando restaurar a operação normal do serviço o mais breve possível, minimizando o impacto adverso nas operações de negócio,
garantindo os níveis acordados de qualidade de serviço, com a tomada de medidas de contenção e/ou soluções adequadas.
3.3.Define-se nesta norma, como vulnerabilidade de segurança, as fraquezas/falhas de um sistema que podem ser potencialmente exploradas por uma
ou mais ameaças e causar danos e prejuízos à organização. Ao se aproveitar de uma vulnerabilidade de segurança, ocorre um incidente de segurança.
3.4.Os incidentes de segurança devem ser reportados através da ferramenta de registros de chamados da Sefaz.
3.5.De forma subsidiária e em casos nos quais o incidente possua alto potencial de impacto, outros canais de comunicação corporativa podem ser utili-
zados, como por exemplo, o correio eletrônico, grupos de mensagens, comunicadores instantâneos, dentre outros, de forma a priorizar o atendimento.
3.6.Os incidentes de segurança da informação identificados devem ser avaliados e respondidos da forma mais adequada e eficiente.
3.7.Os efeitos adversos dos incidentes de segurança da informação na Sefaz devem ser minimizados por controles apropriados como parte da resposta
ao incidente, possivelmente em conjunto com elementos relevantes de um plano de gerenciamento de crises.
3.8.Os incidentes, notificados ou detectados, devem ser objeto de registro, com a finalidade de assegurar a manutenção do histórico e auxiliar na
geração de indicadores.
3.9.As falhas de segurança e vulnerabilidades devem ser reportadas através dos canais apropriados imediatamente, devendo os detalhes considerados
importantes serem incluídos nas notificações, para que sejam avaliadas e tratadas adequadamente.
3.10.As lições aprendidas com incidentes de segurança da informação ocorridos devem ser utilizados para evitar futuros incidentes de segurança da
informação ou que seja otimizado o gerenciamento de incidentes futuros.
3.11.Todos os incidentes de segurança da informação ocorridos devem ser documentados de maneira consistente, usando padrões apropriados para
categorização e classificação de incidentes e compartilhamento, para que métricas sejam criadas a partir de dados agregados durante um período
de tempo.
3.12.Periodicamente, relatórios com incidentes ocorridos devem ser enviados ao Comitê de Segurança da Informação e Privacidade de Dados para
a apreciação e discussão, enfatizando os incidentes de impactos de relevância intermediária ou alta.
3.13.Todo incidente que viole a LGPD deverá ser comunicado ao DPO, e deve obedecer a normativo próprio desta Secretaria que trata acerca da
conformidade com a LGPD.
4.PAPÉIS E RESPONSABILIDADES
4.1.São responsabilidades da Área de Governança em SI e Privacidade de Dados:
4.1.1.Coordenar e avaliar o tratamento dos incidentes em SI, com vistas a identificar os motivos que levaram ao comprometimento da SI, construindo
uma base de conhecimento sobre incidente;
4.1.2.Articular-se às equipes designadas para a resolução dos incidentes de SI, assim como gestores de demais áreas da Sefaz que possam ser
impactados com a ocorrência;
4.1.3.Acompanhar os trabalhos das equipes envolvidas na resolução de incidentes de SI, bem como as medidas de contenção e correções adotadas;
4.1.4.Avaliar e determinar a classificação das notificações de incidentes reportadas pelas equipes que responderam os incidentes;
4.1.5.Propor alterações das diretrizes para ações de tratamento de incidentes;
4.1.6.Atuar fortemente no acompanhamento das ações de tratamento a incidentes graves;
4.2.São responsabilidades da Coordenadoria de Tecnologia da Informação e Comunicação (Cotic):
4.2.1.Receber, analisar e responder às notificações e atividades relacionadas à prevenção e tratamento de incidentes de segurança da informação
computacionais.
4.2.2.Permanecer alinhada à Diretriz de Segurança da Informação, e articular-se com área de Área de Governança em SI e Privacidade de Dados,
mantendo-os informados acerca do tratamento e respostas a incidentes, bem como as medidas de contenção e correção adotadas;
4.2.3.Planejar, coordenar, delegar e supervisionar as atividades de gestão de incidentes de segurança da informação;
4.2.4.Implantar ou solicitar a implantação dos requisitos mínimos de segurança para o uso dos produtos que incorporem recursos de segurança da
informação, de modo a assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação;
4.2.5.Realizar o registro do incidente na ferramenta de acompanhamento de tratamento de incidentes;
4.2.6.Mobilizar pessoal responsável pela investigação de incidentes, levantamento, cadeia de custódia e segurança das evidências, bem como
quaisquer outras pessoas e áreas que possam colaborar, como proprietários e custodiantes de ativos, gerentes de processos, gestores de solução,
gestores de acesso, entre outros.
4.2.7.Acompanhar os planos de tratamento junto aos responsáveis pelos incidentes e criação de indicadores e relatórios;
4.2.8.Comunicar os gestores responsáveis e os envolvidos das áreas relacionadas ao incidente;
4.2.9.Garantir que os usuários sejam mantidos informados sobre seus incidentes;
4.2.10.Contribuir com a atualização da base de conhecimento relativo aos incidentes de segurança da informação computacionais;
4.2.11.Criar e gerir processos de inteligência para prevenção a ameaças cibernéticas para subsidiar tomada de decisão;
4.2.12.Prover artefatos, trilhas de auditoria e evidências para a investigação de incidentes;
4.2.13.Realizar análises pós-incidentes (post mortem) para identificação e tratamento de causas raiz e aprimoramento de processos da instituição e
do próprio processo de gestão de incidentes de segurança.
4.3. São responsabilidades dos Gestores:
4.3.1.Definir os responsáveis pela execução das ações de tratamento de incidentes que envolvam recursos ou informações sob sua responsabilidade.
4.3.2.Ao terem ciência, ou ao serem notificados sobre incidentes que envolvam recursos ou informações sob sua responsabilidade, colaborar com
eventuais investigações e tratar os incidentes com a devida urgência e acordos de nível de serviço pré definidos.
4.3.3.Receber, analisar e responder às notificações e atividades relacionadas à prevenção e tratamento de incidentes de segurança da informação
não computacionais.
4.4.São responsabilidades dos Colaboradores:
4.4.1.Informar imediatamente, através da ferramenta de registro de chamados da Sefaz qualquer incidente ou anomalia que possa indicar a possi-
bilidade de incidentes, violações às políticas de segurança da informação ou violações de acessos, sobre os quais venham a tomar conhecimento.
4.4.2.O colaborador por sua própria iniciativa não pode, exceto quando devidamente autorizado, tentar averiguar ou analisar uma falha ou vulne-
rabilidade em ativo ou recurso, pelo fato de que, tal atitude, sem a devida precaução e destreza, pode prejudicar o ativo, ou destruir evidências
importantes, ou trazer risco pessoal para a integridade física do colaborador.
5.RESPONSABILIZAÇÃO
5.1.Incidentes de segurança corporativa causados por atitudes intencionais, negligência ou irresponsabilidade devem implicar a apuração das responsa-
bilidades e eventual aplicação de sanções para os responsáveis, previstas e informadas quando da contratação ou admissão dos colaboradores da Sefaz.
5.2.Devem estar incluídas nos contratos entre a Sefaz e os fornecedores e profissionais a seu serviço, independente do tipo de vínculo entre as
partes, as sanções administrativas, cíveis e criminais cabíveis, além do ressarcimento proporcional a eventuais prejuízos, em caso de comprovada
negligência, dolo ou responsabilidade por incidentes de segurança.
5.3.Caso os incidentes envolvam responsabilidade e ações legais contra ou a favor de pessoas ou empresas relacionadas com a Sefaz, as evidências
coletadas devem ser registradas e armazenadas conforme exigido pelas legislações pertinentes, de forma a manter a integridade das mesmas.
5.4.Quando um incidente configurar possível violação a deveres ou proibições previstos no Estatuto dos Servidores Públicos Civis do Estado, a
Corregedoria deverá ser notificada para exame de eventuais transgressões disciplinares.
6.PLANEJAMENTO E TRATAMENTO DE INCIDENTES
6.1.Planejamento de resposta a incidentes de SI
6.1.1.A Área de Governança em SI e Privacidade de Dados, juntamente com as áreas responsáveis, serão responsáveis por elaborar o planejamento
de gestão de incidentes, atentando aos seguintes mecanismos:
6.1.1.1.Plano de resposta a incidentes: Composto por um conjunto de documentos que incluam: processos de gestão de incidentes, procedimentos
específicos, indicadores de desempenho de tratamento de incidentes, catálogo de classificação dos incidentes e variáveis de impacto, etc.
6.1.1.2.Procedimentos específicos e ações de resposta: Instruções de trabalho que contenham ações específicas a serem executadas durante a reali-
zação das tarefas dos processos de gestão de incidentes.
6.1.1.3.Plano de comunicação: Instruções contidas no plano de resposta a incidentes, que determinam quando e como devem ser realizadas as
Fechar