Copyright © Dia Oficial 2025 | contato@diaoficial.com

DOU 22/10/2024 - Diário Oficial da União - Brasil 

                            Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152024102200050
50
Nº 205, terça-feira, 22 de outubro de 2024
ISSN 1677-7042
Seção 1
Art. 24. Deverá ser criado um processo de avaliação de conformidade nos
aspectos relativos à segurança da informação, contendo, no mínimo:
I - as unidades a serem abrangidas;
II - os aspectos a serem observados para verificação da conformidade;
III - as ações e atividades a serem realizadas;
IV - os documentos necessários
para fundamentar a verificação de
conformidade; e
V - as responsabilidades.
Art. 25. A Susep manterá registros e procedimentos, como trilhas de auditoria
e outros, que assegurem o rastreamento, acompanhamento, controle e verificação de
acessos aos seus ativos, observando sua criticidade.
Seção VII
Do controle de acesso
Art. 26. Será elaborada norma de gestão de acessos a fim de regular a
concessão de credenciais de acesso.
Art. 27. O acesso a informações classificadas ou que tenham sigilo previsto por
lei dependerá da posse de credencial de acesso, observando o princípio do privilégio
mínimo e da necessidade de conhecer, quando aplicável.
Art. 28. As áreas, instalações, redes e sistemas de computadores deverão
possuir mecanismos adequados de controle de acesso físico ou lógico, mediante
credenciais de acesso, de acordo com seu grau de criticidade, que possibilitem o bloqueio
e a identificação das pessoas.
Art. 29. O acesso a áreas, instalações, redes e sistemas de computadores,
exceto as páginas públicas do sítio da Susep na internet e áreas destinadas a atendimento
ao público, dependerá necessariamente da posse de credenciais de acesso, pessoais e
intransferíveis, a serem concedidas em razão da conveniência e oportunidade, observando,
quando aplicável, a credencial de acesso e a necessidade de conhecer.
§ 1º As credenciais de acesso deverão delegar a seu portador somente os
privilégios de acesso necessários para o exercício de sua função.
§ 2º As credenciais de acesso dos agentes públicos serão válidas apenas
durante o período de efetivo exercício de sua função.
§ 3º A Administração da Susep poderá, a seu critério, estabelecer condições
adicionais específicas para o acesso de seus agentes públicos a áreas e instalações
classificadas, tais como necessidade de acompanhamento e autorizações de acesso
especiais.
§ 4º As credenciais de acesso que habilitarão os visitantes a acessar áreas e
instalações da Susep deverão ser mantidas visíveis durante todo o período da visita e sua
concessão ocorrerá mediante apresentação de documento de identificação do visitante e
autorização de servidor da Susep.
Art. 30. As credenciais de acesso de agentes públicos são de uso pessoal e
intransferível e seu compartilhamento é vedado sob qualquer hipótese, devendo ser
alterada pelo próprio agente público, a qualquer tempo, ou por determinação da unidade
de TI, especialmente quando houver suspeita de sua violação.
Art. 31. Qualquer utilização dos sistemas e demais recursos de informática da
Susep é de responsabilidade do agente público ao qual estejam associadas as credenciais
de acesso utilizadas.
Art. 32. As credenciais de acesso com permissão de administração de recursos
de TI para colaboradores deverão ser pessoais, intransferíveis e distintas daquelas
utilizadas para acesso regular, e serão fornecidas exclusivamente ao pessoal técnico da
área de TI, sejam eles servidores ou terceiros devidamente contratados para tal função.
§ 1º Credenciais de acesso criadas para administração ou utilização por
sistemas ou serviços de TI, que não possam ser diretamente associadas a uma pessoa
física, deverão ser reguladas por norma específica.
§ 2º Os administradores dos recursos de TI da Susep são responsáveis pelo uso
adequado dos recursos sob sua responsabilidade, devendo zelar pela integridade,
disponibilidade e confidencialidade dos sistemas e dos dados sob seus cuidados.
Seção VIII
Da Gestão de Ativos da Informação
Art. 33. Os ativos da informação da Susep deverão ser protegidos contra
indisponibilidade, acessos indevidos, ameaças, ataques, alterações, falhas, perdas, danos,
furtos, roubos, interrupções não programadas e outros incidentes de segurança.
Art. 34. Os ativos de informação deverão ser inventariados e mapeados a fim
de produzir subsídios para a Gestão de Segurança da Informação, Gestão de Riscos,
Gestão de Continuidade de Negócios, bem como para os procedimentos de avaliação da
conformidade, de melhorias contínuas e de auditoria.
Art. 35. Ações e controles específicos de segurança deverão garantir a proteção
adequada dos ativos de informação da Susep, em níveis compatíveis ao seu grau de
importância para a consecução das atividades e objetivos estratégicos da Autarquia.
Seção IX
Do uso dos recursos computacionais
Art. 36. Os recursos de TI são colocados à disposição dos usuários para uso
como ferramentas de trabalho.
§ 1º É vedado o uso de recursos computacionais para armazenar ou transmitir
conteúdo ilegal, calunioso, difamatório, injurioso, que viole direitos à propriedade
intelectual, que seja invasivo à privacidade ou obsceno.
§ 2º Os serviços de trocas de mensagens, como correio eletrônico, mensagens
instantâneas, ou quaisquer serviços de comunicação disponibilizados pela Susep devem ser
utilizados apenas para atividades inerentes ao exercício do cargo ou função na Susep,
sendo vedada sua utilização para fins pessoais, incluindo envio de propaganda ou material
não solicitado (spam), correntes, esquemas do tipo "pirâmide" ou qualquer outra forma de
apelo não autorizado por autoridade competente desta Autarquia.
Art. 37. O uso dos recursos computacionais pelos usuários da rede da Susep
poderá ser monitorado, respeitando-se os princípios legais.
Art. 38. Somente é permitida a utilização de software autorizado ou
disponibilizado pela Susep.
Parágrafo único. Em caso de necessidade comprovada de uso de outros
programas, incluindo os gratuitos, ou versões comerciais destinadas à avaliação, estes
devem ser previamente autorizados pela área de TI.
Art. 39. É vedado ao usuário alterar, nos computadores de mesa ou portáteis,
configurações restritas à área de TI.
Art. 40. É vedada a conexão de equipamentos particulares à rede de dados da
Susep, salvo em caso de comprovada necessidade e anuência da área de TI.
Art. 41. A área de TI poderá suspender o acesso de qualquer equipamento à
rede da Susep, sem aviso prévio, sempre que for constatada violação das normas de
utilização e de segurança da rede.
Art. 42. O uso de recursos criptográficos deverá ser considerado no trânsito e
no armazenamento de dados sigilosos, de acordo com a sua classificação.
Seção X
Da Segurança Física e do Ambiente
Art. 43. A segurança física dos equipamentos e os mecanismos de proteção às
instalações físicas e áreas de processamento de informações deverão ser protegidas
contra acesso indevido, danos e interferências, em resposta aos riscos identificados.
Art. 44. A unidade responsável pela segurança organizacional e corporativa
deverá implementar perímetros de segurança a fim de garantir proteção e separação
entre ambientes internos e externos.
Art. 45. As áreas seguras serão protegidas por controles apropriados de
entrada para assegurar que somente pessoas autorizadas tenham acesso.
Art. 46. A Administração da Susep poderá, a seu critério, estabelecer condições
adicionais específicas para o acesso de seus agentes públicos a áreas e instalações
específicas, tais como necessidade de acompanhamento e autorizações de acesso
especiais.
Art. 47. Os visitantes, ao acessar áreas e instalações da Susep, serão
autorizados e acompanhados durante a sua permanência desde o acesso até a saída, por
agente público da Susep.
Parágrafo único. Esse acesso deverá ser registrado.
Seção XI
Dos recursos humanos
Art. 48. A Susep buscará o aperfeiçoamento e a atualização contínua de seus
agentes públicos em Segurança da Informação, principalmente os envolvidos diretamente
na gestão desta.
Art. 49. Fica facultado à Susep contratar consultorias especializadas para
assessoramento do CSI no desempenho de suas atividades.
CAPÍTULO VII
DAS PENALIDADES
Art. 50. O descumprimento às normas estabelecidas no âmbito da Posin
sujeitará o agente público às sanções e obrigações previstas na regulamentação interna e
na legislação em vigor.
CAPÍTULO VIII
DAS COMPETÊNCIAS E RESPONSABILIDADES
Art. 51. Compete ao Conselho Diretor:
I -promover a simplificação administrativa, a modernização da gestão pública e
a integração dos serviços públicos, especialmente aqueles prestados por meio eletrônico,
com vistas à segurança da informação;
II - monitorar o desempenho e avaliar a concepção, a implementação e os
resultados desta política e das normas internas de segurança da informação;
III - incorporar padrões elevados de conduta para a garantia da segurança da
informação e orientar comportamento dos agentes públicos, em consonância com as
funções e as atribuições da Autarquia;
IV - estabelecer diretrizes para o planejamento e execução de programas, de
projetos e de processos relativos à segurança da informação;
V - estabelecer diretrizes para o processo de gestão de riscos de segurança da
informação;
VI - observar as normas que estabelecem requisitos e procedimentos para a
segurança da informação publicadas pelo Gabinete de Segurança Institucional da
Presidência da República;
VII - implementar controles internos fundamentados na gestão de riscos da
segurança da informação;
VIII - instituir uma estrutura de processos e controles para a gestão de
segurança da informação;
IX -implantar mecanismo de comunicação imediata sobre a existência de
vulnerabilidades ou incidentes de segurança que impactem ou possam impactar os
serviços prestados pela Susep;
X -observar as normas e os procedimentos específicos aplicáveis, implementar
e manter mecanismos, instâncias e práticas de governança da segurança da informação
em consonância com os princípios e as diretrizes estabelecidos na legislação; e
XI -assegurar a manutenção da existência do Comitê de Segurança da
Informação, levando em consideração o que consta da Resolução Susep nº 31, de 2023,
ou de ato normativo que venha a substituí-la.
Art. 52. Compete ao Superintendente:
I - designar para a função de Gestor de Segurança da informação um entre os
um servidor público civil ocupante de cargo efetivo, ou militar de carreira, com formação
ou capacitação técnica compatível com as atribuições; e
II -designar ao menos um servidor efetivo, militar de carreira ou empregado
público como responsável pela avaliação de conformidade.
Art. 53. Compete à área de recursos humanos:
I - notificar a área de TI sobre qualquer afastamento, desligamento, alteração
de cargo, função ou lotação de agentes públicos da Susep; e
II - promover a capacitação dos agentes públicos nas normas de Segurança da
Informação adotadas pela Susep.
Parágrafo único. As ações decorrentes das alterações de pessoal mencionadas
no inciso I serão definidas em normas ou procedimentos específicos.
Art. 54. Compete à área de TI:
I -implantar ações técnicas para assegurar integridade, disponibilidade,
confidencialidade e autenticidade de informações armazenadas em meio digital no âmbito
da Susep;
II - encaminhar solicitação dos recursos necessários para implantação da Posin,
no limite de suas atribuições, à Autoridade competente para as providências cabíveis;
III - prestar assessoria técnica aos gestores de ativos e ao CSI nos temas
relacionadas à TI;
IV - monitorar o uso dos recursos computacionais; e
V -Promover o aperfeiçoamento constante de seu corpo técnico quanto às
boas práticas e tecnologias de Segurança da Informação.
Art. 55. Compete aos titulares de unidades:
I -indicar as necessidades de treinamento dos agentes públicos lotados na
unidade pela qual é responsável nas normas de Segurança da Informação vigentes;
II - indicar as necessidades de concessão e revogação de credenciais de acesso
para os agentes públicos em atividade na unidade de sua responsabilidade;
III - identificar e classificar os ativos de informação sob sua gestão por nível de
criticidade;
IV - identificar potenciais ameaças aos ativos de informação;
V - identificar e comunicar vulnerabilidades dos ativos de informação;
VI - consolidar informações resultantes da análise do nível de segurança da
informação de cada ativo de informação ou de grupos de ativos de informação em um
relatório;
VII - autorizar a atualização do relatório mencionado no inciso VI;
VIII - avaliar os riscos dos ativos de informação ou do grupo de ativos de
informação;
IX - avaliar e, em caso de necessidade, aprovar as solicitações de acesso aos
ativos sob sua gestão; e
X -promover o aperfeiçoamento constante de seu corpo técnico quanto às
boas práticas e tecnologias de Segurança da Informação.
Art. 56. Compete aos usuários:
I - conhecer e observar a Posin bem como suas normas complementares;
II - informar imediatamente ao CSI qualquer evento, confirmado ou sob
suspeita, relativo à Segurança da Informação;
III - informar imediatamente à Etir qualquer evento relacionado à segurança
cibernética;
IV - zelar pelo sigilo de suas credenciais de acesso lógico aos ativos de
informação da Susep;
V - comunicar a perda ou comprometimento de suas credenciais de acesso;
VI - responder pela quebra de segurança ocorrida com a utilização de suas
credenciais de acesso; e
VII - observar, na manipulação e uso de ativos, as medidas especiais de
segurança compatíveis com seu grau de sigilo, em conformidade com a legislação vigente
e normas complementares adotadas pela Susep.
CAPÍTULO IX
DAS DISPOSIÇÕES FINAIS E TRANSITÓRIAS
Art. 57. A Posin será complementada por normas, procedimentos e outros
documentos pertinentes, os quais serão considerados partes integrantes desta política.
Art. 58. Será providenciada a inclusão das cláusulas de que trata o art. 10 nos
contratos vigentes na data de publicação desta Resolução, por meio de termos aditivos, na
ocorrência de eventual prorrogação contratual.
Art. 59. As propostas de alteração ou criação de normas internas sobre
Segurança da Informação deverão ser encaminhadas ao CSI.
Art. 60. Após a publicação desta Resolução, o CSI deverá dar ampla divulgação
da Posin a todos os agentes públicos, inclusive por meio da intranet.
Art. 61. A Posin deverá ser revisada, sempre que se fizer necessário, não
excedendo ao período de 3 (três) anos.
Art. 62. Fica revogada a Deliberação Susep nº 171, de 19 de março de
2015.
Art. 63. Esta Resolução entra em vigor na data de sua publicação.
ALESSANDRO SERAFIN OCTAVIANI LUIS

Fechar