O Secretário da Receita Federal, no uso da atribuição que lhe confere o inciso III do art. 209 do Regimento Interno da Secretaria da Receita Federal, aprovado pela Portaria MF nº 259, de 24 de agosto de 2001 , e tendo em vista o disposto no Decreto nº 3.505, de 13 de junho de 2000 , resolve:

DAS DISPOSIÇÕES PRELIMINARES

Art. 1º A Política de Segurança da Informação, no âmbito da Secretaria da Receita Federal (SRF), tem como pressuposto a garantia da confidencialidade, integridade e disponibilidade dos ativos de informação.

Art. 2º Para efeito desta Portaria, entende-se por:

I - ativos de informação, o patrimônio composto por todos os dados e informações gerados e manipulados nos processos da SRF, bem assim todos os elementos de infra-estrutura, tecnologia, hardware e software necessários à execução dos processos da organização;

II - ambiente informatizado, o conjunto de recursos que utiliza ou disponibiliza serviços de processamento de dados e sistemas de informação de uso na SRF;

III - confidencialidade, o princípio de segurança que trata da garantia de que o acesso à informação seja obtido somente por pessoas autorizadas;

IV - integridade, o princípio de segurança que trata da salvaguarda da exatidão e confiabilidade da informação e dos métodos de processamento;

V - disponibilidade, o princípio de segurança que trata da garantia de que pessoas autorizadas obtenham acesso à informação e aos recursos correspondentes, sempre que necessário;

VI - análise de risco e vulnerabilidades, a avaliação das ameaças, impactos e vulnerabilidades dos ativos de informação e da probabilidade de sua ocorrência;

VII - controle de acesso, o conjunto de recursos que efetivam as autorizações e as restrições de acesso aos ativos de informação; e

VIII - software homologado, o software desenvolvido, adquirido ou alterado pela SRF, ou a pedido desta, e submetido a procedimentos de verificação quanto à aderência às especificações e às normas vigentes na SRF

Art. 3º Os ativos de informação e o ambiente informatizado da SRF devem estar em conformidade com as normas de segurança instituídas por esta Portaria e demais normas relativas à segurança da informação.

Art. 4º Os ativos de informação da SRF devem ser protegidos contra ações intencionais ou acidentais que impliquem perda, destruição, inserção, cópia, extração, alteração, uso e exposição indevidos, em conformidade com os princípios da confidencialidade, integridade e disponibilidade.

Art. 5º As informações da SRF devem ser classificadas em função de sua importância e confidencialidade.

Art. 6º As medidas de segurança devem ser adotadas de forma proporcional aos riscos existentes e à magnitude dos danos potenciais, considerados o ambiente, o valor e a criticidade da informação.

Parágrafo único. Os dados e informações devem ser mantidos com o mesmo nível de proteção, independente do meio no qual estejam armazenados, em que trafeguem ou do ambiente em que estejam sendo processados.

Art. 7º O acesso aos ativos de informação e ao ambiente informatizado da SRF deve ser sempre motivado por necessidade de serviço, devendo ser controlado e restrito às pessoas autorizadas.

§ 1º As permissões de acesso são de uso exclusivo e intransferível, não podendo a pessoa autorizada deixar qualquer ativo de informação em condições de ser utilizado com suas permissões de acesso por terceiros.

§ 2º As permissões de acesso devem ser graduadas de acordo com as atribuições dos servidores.

§ 3º O acesso ao ativo de informação não gera direito real sobre o mesmo e nem sobre os frutos de sua utilização.

Art. 8º Os servidores da SRF devem ser permanentemente treinados e capacitados a exercerem as atividades inerentes à área de segurança da informação, bem assim sobre as formas de proteção dos ativos de informação sob sua responsabilidade, de acordo com programa de capacitação e desenvolvimento estabelecido pela Coordenação-Geral de Tecnologia e Segurança da Informação (Cotec).

DA SEGURANÇA NO AMBIENTE INFORMATIZADO

Art. 9º O ambiente informatizado da SRF, com a finalidade de garantir os princípios de confidencialidade, integridade e disponibilidade, deve possuir:

I - modelo de gestão, devidamente aprovado pela Cotec;

II - plano de contingência que assegure a operação e a recuperação de ativos de informação em situações de emergência, de acordo com as necessidades e prazos específicos;

III - recursos de autenticação que garantam a identificação individual e inequívoca do usuário, quando do acesso aos ativos de informação;

IV - recursos de criptografia;

V - mecanismos de proteção da rede da SRF, inclusive em suas interfaces com outras redes e com a Internet;

VI - monitoração, em tempo real, com vistas a prover mecanismos de prevenção, detecção, identificação e combate à invasão (intrusão);

VII - mecanismos de prevenção, detecção e eliminação de vírus de computador e outros programas maliciosos;

VIII - sistemática de geração de cópias de segurança (backup) e de recuperação de informações (restore) devidamente documentada, abrangendo periodicidade de cópias, forma e local de armazenamento, autorização de uso, prazo de retenção e plano de simulação e testes;

IX - medidas para verificação dos dados quanto a sua precisão e consistência;

X - registro de informações (log) com prazos de retenção e formas de acesso definidas, com vistas a permitir a recuperação do sistema em caso de falha;

XI - registro de informações (trilha de auditoria) com prazos de retenção e formas de acesso definidas, com vistas a permitir auditoria, identificação de situações de violação e contabilização individual do uso dos sistemas;

XII - parâmetros de normalidade de utilização definidos; e

XIII - controle de acesso físico às instalações e equipamentos.

Art. 10. Os ambientes de produção, treinamento, prospecção, testes, homologação e desenvolvimento dos sistemas informatizados, localizados nas unidades da SRF ou em seus prestadores de serviços, devem ser distintos e de exclusividade da SRF, observadas as regras definidas pela Cotec.

Art. 11. O desenvolvimento de software, em todas as fases do processo, a prospecção de produtos e serviços e os procedimentos de homologação deverão contar com a participação de servidores em exercício na área de segurança da informação.

Art. 12. No ambiente informatizado da SRF, devem ser utilizados e instalados somente softwares homologados pela Cotec.

Parágrafo único. O disposto no caput não se aplica aos ambientes de prospecção, testes e homologação.

Art. 13. Os softwares instalados nos equipamentos servidores, nos equipamentos de rede e comunicação e nas estações de trabalho devem ser permanentemente atualizados, visando incrementar aspectos de segurança e corrigir falhas.

Art. 14. Os ativos de informação devem ser inventariados periodicamente por servidores em exercício na área de tecnologia da informação, em relação aos aspectos atinentes a hardware, software e configurações.

Art. 15. A eliminação de informação protegida por sigilo fiscal ou de uso exclusivo da SRF e de softwares instalados, constantes em dispositivos de armazenamento, deve ser procedida mediante a utilização de ferramentas adequadas à eliminação segura dos dados, quando:

I - destinados, no âmbito da SRF, a outro servidor;

II - houver alteração das atividades desempenhadas pelo servidor e o conteúdo armazenado for prescindível às novas atividades;

III - destinados a pessoas ou organizações não autorizadas; e

IV - o dispositivo de armazenamento estiver danificado.

Parágrafo único. Na hipótese prevista no inciso IV do caput, o dispositivo de armazenamento deverá ser destruído se as informações nele contidas não puderem ser eliminadas.

Art. 16. Devem ser adotadas medidas adicionais de proteção, visando garantir o mesmo nível de segurança das instalações internas da SRF, no caso de:

I - computação móvel;

II - acesso remoto ao ambiente informatizado da SRF;

III - operação de redes instaladas em recintos diferentes das unidades da SRF;

IV - equipamentos destinados ao acesso público; e

V - comunicação sem fio.

Art. 17. O tráfego de informações em redes locais e de longa distância deve ser protegido contra danos, perdas, indisponibilidades, uso ou exposição indevidos, de acordo com seu valor, criticidade e confidencialidade.

§ 1º O tráfego de dados deve ser efetuado por meio de canais privativos, sejam eles físicos ou virtuais, que provejam criptografia e autenticação.

§ 2º As redes devem possuir rotas alternativas e contar com mecanismos de redundância.

Art. 18. É vedada a alteração dos mecanismos e configurações definidos pela Cotec, incluindo:

I - infra-estrutura elétrica;

II - infra-estrutura lógica;

III - equipamentos de rede e de conectividade;

IV - equipamentos servidores;

V - estações de trabalho fixas;

VI - estações de trabalho móveis;

VII - sistemas operacionais;

VIII - softwares em geral; e

IX - dispositivos de comunicação sem fio.

Art. 19. A Cotec editará e manterá atualizado Manual de Procedimentos de Segurança, que servirá de referência para certificação de conformidade dos ambientes gerenciados pela SRF e pelos prestadores de serviços, devendo abranger, dentre outros, os seguintes aspectos:

I - segurança física das instalações onde se encontram os recursos do ambiente;

II - configuração dos equipamentos servidores, de rede e de comunicações, bem assim das estações de trabalho;

III - atualização dos softwares em uso na SRF;

IV - prevenção, detecção e eliminação de vírus de computador;

V - cópia de segurança (backup) e recuperação;

VI - uso, armazenamento e destruição de informações; e

VII - transmissão e compactação de dados.

DAS RESPONSABILIDADES INSTITUCIONAIS E FUNCIONAIS

Art. 20. É responsabilidade de todos os servidores cuidar da integridade, confidencialidade e disponibilidade dos ativos de informação da SRF.

Parágrafo único. O servidor deve comunicar por escrito quaisquer irregularidades, falhas ou desvios identificados à chefia imediata e à área responsável pela segurança da informação da sua unidade da SRF.

Art. 21. É proibida a exploração de falhas ou vulnerabilidades porventura existentes nos ativos de informação da SRF.

Parágrafo único. A Cotec poderá autorizar testes controlados para identificar a existência de falhas ou vulnerabilidades nos ativos de informação da SRF.

Art. 22. Cabe à Cotec:

I - gerenciar o processo de implantação e aplicação das normas constantes nesta Portaria;

II - definir os agentes intervenientes, bem assim as respectivas atribuições, necessários para garantir o fiel cumprimento desta Portaria;

III - regulamentar o acesso aos ativos de informação da SRF;

IV - realizar, periodicamente, auditoria de segurança e análise de risco e vulnerabilidades nos ambientes operacionais e nos sistemas de informação localizados nos prestadores de serviços e nas próprias instalações nas unidades da SRF; e

V - dirimir eventuais dúvidas relativas aos procedimentos regulamentados; e

VI - expedir normas complementares.

Art. 23. O descumprimento das disposições constantes nesta Portaria e demais normas sobre segurança da informação caracteriza infração funcional, a ser apurada em processo administrativo disciplinar, sem prejuízo das responsabilidades penal e civil.

DAS DISPOSIÇÕES FINAIS

Art. 24. Os contratos de prestação de serviços e convênios celebrados pela SRF devem contemplar, quando aplicáveis, as normas de segurança instituídas por esta Portaria e demais normas relativas à segurança da informação.

Art. 25. A Cotec editará, no prazo de trinta dias contados desta data, normas complementares ao disposto nesta Portaria.

Art. 26. Esta Portaria entra em vigor em 1º de junho de 2004.

Art. 27. Fica formalmente revogada, a partir de 1º de junho de 2004, sem interrupção de sua força normativa, a Portaria SRF nº 782, de 20 de junho de 1997.

JORGE ANTONIO DEHER RACHID