Links

Página Inicial ALMG (Consulta Legislação) Jornal Minas Gerais Enviar por Email Imprimir Envie sua Sugestão Política de Seleção de Normas Voltar

Sistema de informação que reúne em um só local as Leis e Decretos, bem como seus regulamentos (resoluções, portarias ...) de todos os órgãos do poder executivo de Minas Gerais. O objetivo do Pesquisa Legislativa é oferecer a sociedade o acesso as normas publicadas no Diário Oficial de forma simples e atualizada, promovendo uma gestão transparente e o acesso à informação. Saiba mais

pesquisalegislativa@ctl.mg.gov.br / (31) 3915-1040

Dados da Legislação

Resolução 4, de 23/07/2024 (OUVIDORIA GERAL DO ESTADO DE MINAS GERAIS - OGE)

Dados Gerais

Tipo de Norma:

Resolução

Número:

Data Assinatura:

23/07/2024

Órgão

Órgão Origem:

Ouvidoria Geral do Estado de Minas Gerais - OGE

Histórico

	Tipo Publicação:	PUBLICAÇÃO	Data Publicação:	24/07/2024
	Fonte Publicação:	Minas Gerais - Diário do Executivo	Página Publicação:	11

Texto

RESOLUÇÃO OGE Nº 04, 23 DE JULHO DE 2024.

Institui a Política de Segurança da Informação no âmbito da Ouvidoria-Geral do Estado.

A OUVIDORA-GERAL DO ESTADO, no uso das atribuições conferidas pelo §1º do art. 93 da Constituição do Estado e tendo em vista o disposto no art. 51 da Lei nº 24.313, de 28 de abril de 2023, no Decreto nº 48.613, de 28 de abril de 2023, no Decreto nº 47.974, de 05 de junho de 2020 e na Resolução Seplag nº 84, de 11 de novembro de 2022
RESOLVE,

CAPÍTULO I

DISPOSIÇÕES PRELIMINARES

Art. 1º - Fica instituída a Política de Segurança da Informação no âmbito da Ouvidoria-Geral do Estado – PSI/OGE, constituída por um conjunto de princípios, diretrizes e regras que estabelecem as bases de tratamento, controle de acesso, proteção e monitoramento das informações processadas, armazenadas e/ou custodiadas pelas unidades administrativas da Ouvidoria-Geral do Estado – OGE.

Parágrafo único – A PSI/OGE está alinhada aos normativos federais e estaduais vigentes e à família das normas ABNT ISO 27000 e demais normas correlatas.

Art. 2º - O cumprimento da PSI/OGE é obrigatório a todos aqueles que exerçam, ainda que transitoriamente e sem remuneração, por eleição, nomeação, designação, contratação ou qualquer outra forma de investidura ou vínculo, mandato, cargo, emprego ou função pública nas unidades administrativas da OGE, ou fora delas, em razão do acesso às informações da OGE.

Art. 3º - A PSI/OGE se aplica, no que couber, às pessoas físicas e jurídicas que possuam vínculo contratual com a OGE ou que tenham acesso aos sistemas, serviços e informações custodiadas ou sob a guarda do órgão.

Art. 4º- A PSI/OGE visa observar a boa-fé e atender aos seguintes princípios:

I - confidencialidade: garantia de que o acesso à informação seja obtido somente por pessoas devidamente autorizadas;

II - integridade: garantia de que a informação seja mantida em seu estado original, visando protegê-la contra alterações indevidas, intencionais ou acidentais;

III - disponibilidade: garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário;

IV - autenticidade: garantia da identidade de quem está tratando a informação, que tem, como consequência, o não-repúdio, que ocorre quando o usuário não pode se esquivar da autoria da ação;

V - legalidade: garantia de que ações sejam realizadas em conformidade com os preceitos legais vigentes e que seus produtos tenham validade jurídica;

VI - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

VII - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

VIII - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

IX - livre acesso: garantia aos titulares de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

X - qualidade dos dados: garantia aos titulares de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

XI - transparência: garantia aos titulares de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os sigilos previstos em leis;

XII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

XIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

XIV – não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;

XV – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Art. 5º - Para os fins desta Resolução, considera-se:

I – acesso lógico: acesso à rede, aos sistemas e às informações da OGE;

II - acesso remoto: conexão à distância entre um dispositivo isolado (terminal ou microcomputador) e uma rede;

III - active directory (AD): implementação de serviço de diretório que armazena informações sobre objetos em rede de computadores e disponibiliza essas informações aos usuários e administradores desta rede;

IV - administrador de sistemas: pessoa responsável pela gestão dos usuários das aplicações e sistemas, sejam eles desktops ou web;

V - aplicativo de desktop: software ou aplicação que precisa ser instalado ou acessado diretamente pelo sistema operacional independente da sua funcionalidade;

VI – antivírus: programa de segurança com a finalidade de prevenir, fazer a varredura, detectar e excluir vírus de um computador, com o objetivo de aumentar a segurança, para fornecer proteção em tempo real contra-ataques de vírus;

VII - auditoria de segurança da informação: procedimento que avalia a gestão da segurança da informação, o controle dos ativos e os riscos envolvidos, considerados de forma efetiva pela organização, abordando aspectos de confidencialidade, integridade e disponibilidade contidos nos conceitos de segurança lógica e física;

VIII – autenticação: processo de verificação da identidade que consta em um sistema, ou seja, o sistema verifica as credenciais de quem está tentando acessá-lo, com as que constam na base de dados e, em caso positivo, o sistema é liberado pois as credenciais foram validadas;

IX - backup ou cópia de segurança: procedimento de cópia de dados de um dispositivo de armazenamento para outra fonte segura que poderá ser utilizada futuramente;

X - certificado digital: arquivo eletrônico que contém dados de uma pessoa física ou jurídica, assinado digitalmente por uma Autoridade Certificadora, utilizados para comprovar sua identidade, armazenado em mídia física, denominada token, dispositivo de hardware ou armazenamento em nuvem, possibilitando o acesso à assinatura digital por meio de computador ou dispositivo móvel com acesso à internet;

XI - dado pessoal: informação relacionada à pessoa natural identificada ou identificável;

XII - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

XIII - desktop virtual: infraestrutura em nuvem composta por sistemas operacionais e aplicativos em que o ambiente de desktop é separado do dispositivo físico usado para acessá-lo, podendo ser acessados de forma remota, a partir de qualquer dispositivo com acesso à internet;

XIV – diretrizes: regras de alto nível que representam os princípios básicos incorporados na gestão de uma organização, conforme sua visão estratégica, e que orientam normas e procedimentos complementares;

XV - disco local: disco rígido físico que armazena dados em um computador, sendo a unidade C, ou o disco local C, o disco primário ativo no sistema;

XVI - duplo fator de autenticação (DFA): componente de gestão de acesso que requer que os usuários provem a sua identidade utilizando pelo menos dois fatores de verificação diferentes antes de acessarem websites, aplicações móveis ou outros recursos online, protegendo com uma barreira adicional para romper antes de obter acesso à conta alvo, nos casos em que um fator é comprometido por um invasor;

XVII - equipamento móvel: equipamento com capacidade de processamento e armazenamento de dados, passível de utilização por usuários em trânsito, como notebooks, tablets e telefones inteligentes (smartphones), bem como equipamentos similares;

XVIII - equipamento particular: todo dispositivo que não é fornecido institucionalmente para o desenvolvimento das atividades profissionais;

XIX – estação de trabalho: equipamentos disponibilizados no ambiente de trabalho com a finalidade de execução das atividades profissionais em local fixo, com a capacidade de comunicação em rede, como desktops e equipamentos móveis;

XX - ferramenta de colaboração: solução digital pautada em tecnologias móveis, como a computação em nuvem, a telefonia e as Application Programing Interfaces (APIs), com o objetivo principal de promover comunicação efetiva e integrada, seja entre membros de um time corporativo, entre colaboradores e clientes ou mesmo entre usuários de serviços;

XXI – firewall: sistema de segurança de rede que monitora e controla o tráfego de entrada e de saída da rede com base em regras de segurança pré-determinadas, e que, geralmente, estabelece uma barreira de segurança entre uma rede interna confiável e outra rede externa, como a internet, que se assume não segura ou confiável;

XXII - gestão de continuidade do negócio: conjunto de planos e procedimentos necessários para a recuperação efetiva de um incidente, minimizando ao máximo os impactos à organização;

XXIII - gestão de mudanças: processo que torna mais fácil para a organização distribuir solicitações de mudança em sua infraestrutura de tecnologia da informação – TI, apoiando a solicitação, priorização, autorização, aprovação, programação e implementação de quaisquer mudanças, sejam elas simples ou complexas, contribuindo para controlar os riscos e reduzir ao mínimo as interrupções nos serviços;

XXIV - gestão de riscos: conjunto de atividades coordenadas para identificar, analisar, avaliar, tratar e monitorar riscos com o intuito de conferir razoável segurança quanto ao alcance dos objetivos institucionais;

XXV - incidente de segurança da informação: indicação de eventos indesejados ou inesperados que possam colocar em risco as informações armazenadas em meio físico ou eletrônico sob a guarda da OGE ou que tenham grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação;

XXVI – informação: resultante do processamento, da manipulação e da organização de dados, de tal forma que represente uma modificação quantitativa ou qualitativa no conhecimento do sistema (humano, animal ou máquina) que a recebe;

XXVII – intranet: rede interna, de uso corporativo, que utiliza a mesma tecnologia da internet, para que os usuários possam acessar as informações das suas organizações;

XXVIII – logs: registros contínuos que contém a data e a hora de determinado evento, além de mensagem criada automaticamente pelos softwares e sistemas de TI, com o objetivo de documentar as ações realizadas nos sistemas e possibilitar a rastreabilidade das ações realizadas;

XXIX - mecanismos de proteção: barreiras que impedem ou limitam o acesso à informação, propiciando um ambiente controlado, seguro e disponível, geralmente eletrônico, evitando que a informação esteja exposta à exclusão, divulgação, alteração ou acesso não autorizado por indivíduo mal-intencionado;

XXX - Microsoft 365 (M365): conjunto de aplicativos da Microsoft, como o Word, Excel, Powerpoint, Microsoft Teams, One Drive e Outlook, Power BI, Forms e Power Automate, entre outros, utilizados para a realização das atividades da organização;

XXXI - política de segurança da informação: conjunto de definições, diretrizes, restrições e requisitos que servem para nortear o uso de boas práticas no trato com os ambientes, recursos e ativos computacionais, em aspectos físicos, lógicos e de pessoal, com a finalidade de proporcionar maior segurança às informações;

XXXII - privilégios de administrador: permissão que possibilita modificar as configurações de um computador, inclusive as de segurança, instalar e remover softwares e acessar qualquer arquivo existente na máquina;

XXXIII - rede corporativa: infraestrutura de tecnologia da informação projetada para facilitar a comunicação, o compartilhamento de recursos e informações, e a execução de operações administrativas dentro da entidade governamental, garantindo a segurança dos dados e o cumprimento das regulamentações governamentais;

XXXIV - serviço de correio eletrônico: sistema de mensageria utilizado na internet, que tem a função de possibilitar o envio e o recebimento de mensagens entre usuários, grupos ou sistemas computacionais;

XXXV – teletrabalho: regime de trabalho no qual a atividade laboral é executada, no todo ou em parte, em local diverso daquele estabelecido para a realização do trabalho presencial, mediante a utilização de tecnologias de informação e de comunicação que permitam a execução remota das atribuições inerentes ao cargo, função ou atribuições desenvolvidas pela unidade de exercício do servidor;

XXXVI - Virtual Private Network (VPN): forma de comunicação que permite que uma ou mais máquinas acessem uma rede privada, utilizando como infraestrutura as redes públicas, tais como a internet, nas quais os dados trafegam na rede de forma segura, utilizando encapsulamento, criptografia e autenticação.

Art. 6º - São diretrizes da PSI/OGE:

I – tratamento da informação: a OGE trata os dados sob sua custódia de forma proporcional e não excessiva, na quantidade necessária ao cumprimento de suas obrigações legais, execução de políticas públicas e regular exercício das competências previstas na Lei nº 15.298 de 6 de agosto de 2004, a Lei nº 24.313 de 28 de abril de 2023, o Decreto nº 48.613 de 28 de abril de 2023, e tendo em vista o disposto na Lei Federal nº 13.709, de 14 de agosto de 2018,

II – proteção de dados: as informações geradas, adquiridas, armazenadas, processadas e transmitidas pelas unidades administrativas da OGE devem ter mecanismos de proteção adequados e aptos a resguardar sua confidencialidade, integridade, disponibilidade, autenticidade e o seu uso em conformidade com legislação vigente, em especial a Lei Federal nº 13.790, de 14 de agosto de 2018; o Decreto nº 48.582 de 03 de março de 2023 (Decreto de Proteção ao Denunciante); o Código de Conduta Ética do Servidor Público e da Alta Administração Estadual.

III – controle de acesso às informações: toda informação utilizada pelas unidades da OGE deve ter seu acesso controlado e o uso permitido apenas aos usuários devidamente autorizados, sendo que as informações relacionadas à pessoa natural identificada ou identificável que estejam em tratamento na OGE devem ter seu acesso e uso controlado e restringido, visando à garantia do direito individual e coletivo das pessoas, da inviolabilidade, da intimidade, do sigilo das informações, dos direitos fundamentais de liberdade e de privacidade e do livre desenvolvimento da personalidade da pessoa natural, nos termos previstos em Lei e na Constituição Federal de 1988;

IV – educação em segurança da informação: os usuários da OGE devem ser instruídos para a correta e segura utilização das informações, dos recursos físicos e computacionais e dos sistemas e serviços disponibilizados pelo órgão, por meio da oferta de treinamentos e capacitações, da elaboração e envio de informativos e comunicados sobre o tema e do esclarecimento de dúvidas, de forma a resguardar a confidencialidade, integridade, disponibilidade, autenticidade das informações e o seu uso em conformidade com os princípios que regem a Administração Pública;

V – segurança da informação: a segurança da informação é dever e responsabilidade de todos os usuários, que devem zelar pela segurança das informações a que tenham acesso com base no disposto nesta Instrução Normativa e demais documentos elaborados pela OGE;

VI – gestão de continuidade de negócios: a OGE deve elaborar e manter atualizado o plano de continuidade de negócios em conformidade com os objetivos estratégicos do órgão, de forma a reduzir os impactos decorrentes das interrupções de sistemas, aplicações e/ou serviços críticos ocasionadas por desastres, incidentes de segurança da informação ou outros eventos;

VII – gestão de riscos de segurança da informação: a OGE deve implementar e manter um processo de gestão de riscos de segurança da informação, implementado com base nas diretrizes e regras estabelecidas na legislação correlata no âmbito da OGE e na LGPD, com o intuito de minimizar possíveis impactos à confidencialidade, à integridade e à disponibilidade das informações do órgão, por meio da seleção e priorização dos ativos e processos de negócio a serem protegidos, bem como da definição e implantação de controles para a identificação e tratamento das vulnerabilidades de segurança, sendo que as medidas de proteção devem ser planejadas e os custos na aplicação de controles devem ser sobrepesados conforme eventuais danos que venham a ocorrer;

VIII – gestão de mudanças: a gestão de mudanças no âmbito da OGE deve contemplar atividades relativas à análise de riscos, execução e validação da mudança, recuperação em casos de falhas e monitoramento da recuperação, permitindo minimizar o impacto das interrupções dos serviços, acelerar o processo de implementação das mudanças, acompanhar o progresso das mudanças na infraestrutura, tornar o processo mais transparente, melhorando a comunicação com as partes interessadas, identificar, de forma rápida, a implementação de quaisquer alterações se algo der errado e melhorar a estimativa de custo para quaisquer alterações propostas;

IX – gestão de incidentes: a OGE deve estabelecer, implementar e manter um sistema de gestão de incidentes em segurança da informação que contemple os processos para registro, análise e tratamento dos incidentes, sendo os usuários conscientizados sobre a importância de efetuarem o registro dos incidentes de segurança da informação de que tiverem ciência, bem como sobre a forma adequada de fazê-lo.

CAPÍTULO II

REGRAS GERAIS
Seção I

Acesso lógico

Art. 7º - O acesso lógico, local ou remoto, aos sistemas, aplicações e serviços disponibilizados pela OGE é feito por meio de autenticação empregando login e senha ou certificado digital.

Parágrafo único: É responsabilidade do usuário manter o sigilo de todas as suas senhas, que são de uso pessoal e intransferível, bem como cuidar do certificado digital fornecido pela OGE.

Art. 8º - Sempre que possível, será habilitado o duplo fator de autenticação para acesso aos sistemas, aplicações e serviços disponíveis no ambiente da OGE visando aumentar a segurança institucional.

Art. 9º - Os acessos lógicos são restritos às atividades profissionais do usuário e suficientes ao desempenho de suas tarefas.

Art.10 - A concessão, alteração, bloqueio de acesso lógico ao diretório Active Directory (AD) e aos sistemas e aplicações da OGE, bem como a cessão e o cancelamento de acesso com privilégio de administrador na rede corporativa e nas estações de trabalho serão realizados mediante autorização da Diretoria de Tecnologia da Informação - DTI.

Art. 11 - As permissões de acesso dos usuários aos sistemas da OGE e de terceiros serão bloqueadas para os usuários em licença ou afastamento e revogadas para os aposentados, falecidos, transferidos ou desligados quando o fato for informado à DTI e aos administradores do sistema pelas chefias imediatas ou mediatas ou pela Superintendência de Planejamento, Gestão e Finanças - SPGF.

Seção II Política de senhas

Art. 12 - Os sistemas, aplicações e serviços da OGE devem ser configurados para bloquear o acesso do usuário automaticamente após 03 (três) tentativas incorretas e consecutivas de logon, assim como fornecer senha temporária, obrigatoriamente alterada no primeiro acesso.

Seção III Teletrabalho

Art. 13 - Durante o exercício do teletrabalho, os usuários devem manter cuidados especiais com o intuito de reduzir a exposição a ameaças cibernéticas no ambiente de teletrabalho, tais como:

I - usar conexões seguras para acessar a rede da OGE;

II - não se conectar à rede da OGE por meio de serviço de Wi-Fi público desprotegido, exceto em situações de extrema necessidade;

III - não armazenar dados e informações fora do ambiente controlado e monitorado pela OGE, como sistemas, serviços e aplicações corporativos, estações de trabalho patrimoniadas, servidores de arquivos e serviços de nuvem homologados pela DTI, exceto em situações de extrema necessidade;

IV - certificar-se de que seu equipamento particular possui sistema operacional, aplicativos e demais ferramentas atualizadas;

V - utilizar biometrias, quando disponíveis no equipamento particular, e senhas fortes, habilitando, sempre que disponível, a autenticação de dois fatores nos sistemas, serviços e aplicações;

VI - não imprimir e armazenar documentos em papel com informações confidenciais em ambiente fora das unidades da OGE, exceto em situações de extrema necessidade.

Art. 14 - O acesso remoto à rede corporativa da OGE ocorrerá somente por meio de Virtual Private Network – VPN.

Seção IV Certificado digital

Art. 15 - O fornecimento de certificado digital se dará por meio de solicitação formal do responsável da unidade administrativa, acompanhada da justificativa do uso do dispositivo para as atividades laborais.

Art. 16 - O uso do certificado digital é individual, pessoal e intransferível, sendo responsabilidade dos usuários a guarda do dispositivo token e das senhas.

Art. 17 - Os certificados digitais deverão ser revogados quando constatada a danificação, a perda, o extravio ou o roubo da senha de acesso ou dos dispositivos utilizados para seu armazenamento.

Seção V Correio eletrônico

Art. 18 - O serviço de correio eletrônico disponibilizado aos usuários é de propriedade da OGE, sendo seu uso obrigatório e restrito às atividades profissionais.

Art. 19 - A OGE reserva para si o direito de monitorar o uso dos serviços de correio eletrônico, de armazenamento em nuvem e de comunicação instantânea institucionais, bem como o conteúdo das mensagens, arquivos e informações.

Art. 20 - Quando constatado o uso indevido do serviço de correio eletrônico, a DTI poderá reter mensagens e arquivos, bem como bloquear temporariamente o usuário.

Art. 21 - A OGE se reserva o direito de possuir e implantar ferramentas de análise de conteúdo de e-mails com o objetivo de prevenir o recebimento de mensagens maliciosas ou indesejadas, que possam colocar em risco a infraestrutura de TI.

Art. 22 - O serviço de correio eletrônico é uma ferramenta usada para compartilhamento de informações e arquivos, porém sem garantia de entrega ou recebimento da mensagem, cujo aviso de recebimento e sua confirmação devem ser solicitados quando a garantia de entrega for essencial.

Seção VI Equipamentos móveis

Art. 23 - Os equipamentos móveis disponibilizados aos usuários são de propriedade da OGE, sendo seus usos restritos às atividades profissionais.

Art. 24 – O Comitê de Governança de Tecnologia e Segurança da Informação - CGTSI poderá realizar auditorias de conformidade em todos os dispositivos móveis de propriedade da OGE, mediante solicitação ou autorização da Ouvidora-Geral do Estado.

Art. 25 - É vedada a utilização de equipamentos particulares na rede corporativa da OGE, ressalvado o uso de equipamento pessoal para acessar o serviço de VPN.

Art. 26 - A OGE não se responsabiliza pelo uso de softwares sem licenças, instalação de hardwares e manutenções nos dispositivos móveis particulares.

Art. 27 - É de inteira responsabilidade do usuário a configuração do dispositivo particular conforme as regras de segurança definidas pela OGE.

Seção VII

Estação de trabalho

Art. 28 – O uso dos computadores das estações de trabalho disponibilizadas aos usuários deve ter seu uso restrito às atividades profissionais.

Art. 29 – Os usuários só poderão utilizar aplicativos desktops homologados pela DTI.

Art. 30 – A concessão de privilégios de administrador nas estações de trabalho é restrita, devendo o pedido ser formalizado pelo responsável pela unidade administrativa e aprovada pela DTI.

Art. 31 – O CGTSI poderá realizar verificação de logs e registros de conformidade em todas as estações de trabalho da OGE mediante solicitação ou autorização da Ouvidora-Geral do Estado.

Art. 32 – Todos os serviços de expansão, substituição ou manutenção das estações de trabalho serão executados somente pela DTI ou sob a sua supervisão.

Art. 33 - É vedado aos usuários a aquisição e instalação de qualquer hardware ou periférico nas estações de trabalho da OGE, salvo se devidamente autorizado pela DTI.

Seção VIII Armazenamento de dados

Art. 34 - Os servidores de arquivos disponibilizados na rede corporativa serão utilizados exclusivamente para armazenamento de arquivos que contenham informações relacionadas aos processos e negócios da OGE.

Art. 35 - A utilização do espaço nos servidores de arquivo da OGE é limitada, controlada e monitorada.

Art. 36 - O CGTSI poderá auditar a utilização do espaço disponibilizado a fim de identificar arquivos em desacordo com as diretrizes supracitadas e consequentemente tomar as providências cabíveis.

Art. 37 - Os usuários utilizarão o armazenamento em nuvem institucionalizado pela OGE e/ou os diretórios da rede corporativa, com acesso restrito ao grupo de usuários que as utilizam, para o armazenamento dos arquivos de trabalho.

Art. 38 - A OGE incentivará a adoção gradual do serviço de nuvem para armazenamento dos dados corporativos, tendo como diretrizes os princípios de confidencialidade, integridade e disponibilidade da segurança da informação.

Art. 39 - O compartilhamento de arquivos com o público externo deverá seguir o disposto em lei, observados os princípios da segurança da informação.

Art. 40 - É vedado o armazenamento de dados e informações de trabalho no disco local.

Seção IX Uso da internet

Art. 41 - O serviço de internet é disponibilizado pela OGE para execução das atividades profissionais dos usuários.

Art. 42 - Os usuários deverão utilizar a internet em conformidade com a lei, com a ordem pública, com o Código de Conduta de Ética do Agente Público e da Alta Administração Estadual e o Estatuto do Servidor.

Art. 43 - É facultado ao usuário o emprego da internet para a melhoria de sua qualificação profissional, desde que autorizado pela sua chefia imediata.

Art. 44 - A OGE poderá monitorar o uso da internet disponibilizada aos usuários, implantando recursos e programas de computador que registrem cada acesso à internet e à rede corporativa da OGE.

Art. 45 – Os usuários devem zelar pelo bom uso da internet, respeitando direitos autorais, regras de licenciamento de software, direitos de propriedade, privacidade e proteção de propriedade intelectual.

Art. 46 - O acesso à internet pela rede corporativa deverá ser efetuado somente por equipamentos autorizados pela DTI.

Art. 47 - A OGE poderá bloquear o acesso a arquivos e sites não autorizados que comprometam o uso de banda da rede ou que exponham a rede à riscos de segurança.

Seção X Proteção de dados pessoais

Art. 48 - A OGE deverá atender aos dispositivos da Lei Federal nº 13.709, de 2018, e do Decreto nº 48.237, de 22 de julho de 2021, assim como as orientações e normativos da Autoridade Nacional de Proteção de Dados – ANPD, com o objetivo de proteger os direitos fundamentais de liberdade, de privacidade e do livre desenvolvimento da personalidade da pessoa natural.

Art. 49 - As atividades relativas ao tratamento de dados pessoais deverão observar a boa-fé, os princípios, requisitos, fundamentos e hipóteses presentes na LGPD.

Seção XI Ferramentas de comunicação corporativa

Art. 50 – O Microsoft Teams é a ferramenta institucional de comunicação e colaboração, com recursos de mensagens instantâneas, chamadas e vídeos, além de ferramentas para elaboração colaborativa de documentos e integração de aplicativos.

Seção XII Reuniões virtuais

Art. 51 - É permitida a participação dos agentes públicos em videoconferência utilizando a internet para tratar de assuntos institucionais.

Art. 52 - A ferramenta institucional da OGE para a realização de reuniões virtuais é o Microsoft Teams, sendo permitida a utilização de outras ferramentas de forma excepcional, quando necessárias.

Art. 53 - No caso de inexistência da versão web, a instalação dos aplicativos na versão desktop das demais ferramentas de realização de reuniões virtuais dependerá de análise e homologação da DTI.

CAPÍTULO III RECOMENDAÇÕES, RESPONSABILIDADES E VEDAÇÕES

Art. 54 – É recomendando aos usuários a adoção das seguintes práticas de segurança da informação:

I - trocar a senha sempre que existir qualquer indício de comprometimento do sistema, do serviço ou da própria senha;

II - configurar, sempre que estiver disponível, o duplo fator de autenticação (DFA) com vistas a aumentar a segurança nos serviços, sistemas e aplicações disponibilizados pela OGE;

III - não utilizar a senha de acesso aos sistemas, serviços e aplicações da OGE em ambientes externos;

IV - evitar o acesso remoto à rede corporativa da OGE em locais públicos;

V - utilizar o crachá de identificação somente no exercício das atividades funcionais;

VI - manter a mesa de trabalho sempre limpa, sem papéis e mídias exposta;

VII - evitar discutir assuntos relacionados às atividades profissionais em locais públicos;

VIII - não abrir mensagens de correio eletrônico cujo assunto, remetente ou conteúdo sejam de origem desconhecida ou contendo links e arquivos suspeitos;

IX - não divulgar o endereço eletrônico fornecido pela OGE para recebimento de mensagens particulares, alheias aos interesses do órgão;

X - não deixar os equipamentos móveis sob sua responsabilidade desprotegidos;

XI - não armazenar arquivos que contenham informações da OGE em equipamentos e mídias particulares;

XII - evitar alimentar-se, fumar ou ingerir líquidos próximo às estações de trabalho ou equipamentos eletrônicos fornecidos pela OGE;

XIII - evitar utilizar outro serviço de correio eletrônico que não seja o institucional nos equipamentos conectados à rede corporativa;

XIV - compartilhar assuntos de trabalho, em qualquer local, dentro ou fora do ambiente corporativo, a partir de qualquer tipo de canal, mídia, ferramenta ou tecnologia, respeitando a ética, a legislação vigente e cumprindo com seu dever de sigilo profissional, aplicando a melhor técnica disponível para garantir a segurança da informação no nível exigido pela relevância dela;

XV - tratar dados pessoais observadas as regras da Lei Federal nº 13.709, de 2018, e do Decreto nº 48.237, de 2021.

Art. 55 – São responsabilidades dos usuários:

I - conhecer e cumprir integralmente todas as diretrizes e regras da Política de Segurança da Informação da OGE, bem como os procedimentos, regulamentos e instruções de trabalho;

II - responder pelo uso de sistemas, serviços por meio de sua identificação;

III - responder pelo uso do equipamento móvel sob sua responsabilidade;

IV - utilizar obrigatoriamente os sistemas disponibilizados pela OGE ou sistemas obrigatórios por lei para enviar e receber informações;

V - utilizar o crachá funcional de modo visível durante sua permanência nas instalações da OGE;

VI - avisar formalmente a chefia imediata ou, na sua ausência, a chefia mediata:

a) a perda, o furto ou o desaparecimento de ativos da OGE;

b) a presença de pessoas desconhecidas e sem identificação nas dependências da OGE;

c) os incidentes de segurança da informação, registrando-os em ferramenta disponibilizada pela OGE no momento da constatação do fato;

VII – apresentar à área responsável pelo patrimônio da OGE, em caso de furto, roubo ou extravio de dispositivos móveis, o Boletim de Ocorrência Policial, no prazo máximo de 48 (quarenta e oito) horas do fato ocorrido;

VIII - conscientizar o público externo de sua circunscrição acerca da importância da segurança das informações na OGE e do cumprimento do disposto nesta política;

IX - sugerir medidas que possam elevar os níveis de segurança das instalações na sua área de atuação;

X - devolver o crachá à área de recursos humanos ao término do contrato de trabalho, nos casos de exoneração de cargo efetivo, aposentadoria ou desligamento do órgão ou entidade;

XI - utilizar adequadamente os recursos institucionais;

XII - guardar documentos físicos que contenham informações sigilosas ou dados pessoais de forma segura e em locais adequados;

XIII - imprimir documentos, caso sejam sigilosos ou que contenham dados pessoais, utilizando impressoras com proteção por meio de senhas ou permanecer próximo à impressora, no momento de sua emissão;

XIV - zelar pela guarda do dispositivo de armazenamento do certificado digital e pela senha de acesso ao dispositivo.

Art. 56 – São responsabilidades dos gestores das unidades administrativas da OGE:

I - cumprir, fazer cumprir e orientar usuários sob sua coordenação em relação ao cumprimento da Política de Segurança da Informação da OGE;

II - monitorar as atividades de parceiros e contratados sob sua responsabilidade;

III - colaborar com o CGTSI no aperfeiçoamento da Política de Segurança da Informação do órgão;

IV - propor ao CGTSI mudanças na Política de Segurança da Informação conforme as necessidades detectadas na sua área de atuação;

V – reportar imediatamente ao CGTSI os incidentes de segurança detectados, inclusive suspeitas ou ameaças de incidentes;

VI – informar imediatamente à Diretoria de Recursos Humanos da OGE, para que sejam providenciados ajustes nas permissões de acesso a serviços e sistemas mantidos ou utilizados pela OGE;

VII - monitorar, como primeira linha de defesa, o cumprimento das normas de segurança da informação, detectando exceções e anomalias, níveis de segurança e incidentes, dentre outros.

Art. 57 – São responsabilidades do administrador de sistemas:

I - cumprir e fazer cumprir a PSI/OGE;

II - realizar a gestão dos usuários da aplicação ou sistema sob sua responsabilidade;

III - manter os dados cadastrais dos usuários da aplicação ou sistema sob sua responsabilidade atualizados;

IV - reportar, de imediato, ao CGTSI, os incidentes de segurança detectados, inclusive suspeitas ou ameaças de incidentes;

V - fornecer suporte ao usuário quando solicitado;

VI - solicitar apoio e consultoria de segurança ao CGTSI quando se fizer necessário;

VII –revisar, pelo menos 1 (uma) vez por ano, os direitos de acesso dos usuários e realizar as alterações necessárias.

Art. 58 – São responsabilidades da DTI:

I - cumprir e fazer cumprir a PSI/OGE;

II - manter os sistemas computacionais e de comunicação em conformidade com a PSI/OGE;

III - disponibilizar os recursos de TI necessários à implantação da PSI/OGE;

IV - manter os dados cadastrais dos usuários da rede corporativa, bem como do correio eletrônico, atualizados;

V - reportar incidentes de segurança da informação à área responsável pela segurança da informação;

VI - monitorar os logs dos sistemas;

VII - acompanhar a realização de manutenção, corretiva ou preventiva, nos servidores e subsistemas de armazenamento da rede corporativa do órgão ou entidade quando a manutenção for realizada por terceiros no ambiente do órgão ou entidade;

VIII - fornecer suporte ao usuário quando solicitado, por meio da abertura de chamado disponibilizado pela DTI;

IX - solicitar apoio e consultoria de segurança da informação ao comitê quando se fizer necessário;

X - instalar e configurar as estações de trabalho;

XI - manter um inventário atualizado das estações de trabalho e dos softwares;

XII - desenvolver e manter um padrão de instalação e configuração de estações de trabalho aderente aos critérios estabelecidos nesta Política;

XIII - configurar os programas de computador e equipamentos para garantir a utilização dos critérios relativos às senhas de acesso;

XIV - documentar toda a infraestrutura de TIC da OGE, tais como tipo de equipamento, patrimônio, localização física, data da aquisição, prazo de garantia, etc;

XV - controlar e descartar os Hard Disks (HDs) e mídias removíveis, quando necessário;

XVI - disponibilizar e administrar a infraestrutura necessária para armazenamento de dados;

XVII - disponibilizar e administrar os recursos de acesso à internet;

XVIII - solicitar para Intendência da Cidade Administrativa o relatório de utilização da internet, quando necessário;

XIX - solicitar para Intendência da Cidade Administrativa o relatório de acessos indevidos à internet, quando necessário;

XX - orientar os usuários em relação à proteção adequada dos dispositivos móveis;

XXI - configurar os dispositivos móveis disponibilizados para os usuários da OGE;

XXII - instalar, homologar, manter, atualizar e configurar todos os servidores, subsistemas de armazenamento e programas de computador que componham as soluções de backup e restore utilizadas pela OGE;

XXIII - definir os recursos e ferramentas que serão utilizados em cada procedimento de backup e restore;

XXIV - documentar os procedimentos de backup e restore;

XXV - eliminar o conteúdo das mídias que serão descartadas;

XXVI - gerenciar e controlar os recursos computacionais e as mídias utilizadas pelos sistemas de backup e restore da OGE;

XXVII - realizar testes de validação e desempenho das cópias de segurança realizadas;

XXVIII - disponibilizar os recursos existentes, quando necessários para a execução das funções de auditoria;

XXIX - analisar e despachar os expedientes relativos a solicitações de usuários encaminhadas pelos respectivos responsáveis por suas unidades;

XXX - administrar o acesso remoto (VPN) à rede da OGE;

XXXI - definir os softwares autorizados que poderão ser instalados nas estações de trabalho;

XXXII - administrar as redes corporativas da OGE;

XXXIII - manter a documentação da topologia da rede atualizada e controlar o acesso ao seu conteúdo

XXXIV - solicitar liberação e bloqueio de portas dos firewalls sob administração da PRODEMGE

XXXV - solicitar para PRODEMGE o relatório de utilização do funcionamento da solução de network IDS/IPS, quando necessário;

XXXVI - instalar, homologar, manter e configurar todos os equipamentos de responsabilidade da OGE;

XXXVII - definir e implementar rotina automatizada para a cópia das configurações e dados dos equipamentos de conectividade para um servidor de arquivos contemplado por uma das rotinas de backup/restore;

XXXVIII - elaborar e manter atualizado procedimento de instalação e configuração da rede;

XXXIX - administrar a cessão, a alteração, o bloqueio e o cancelamento de acessos à rede corporativa;

XL - revisar, por meio dos relatórios encaminhados pela DRH e Responsável de unidade, pelo menos 1 (uma) vez por ano, os direitos de acesso dos usuários da rede corporativa e realizar as alterações necessárias;

XLI - revisar, pelo menos a cada 6 (seis) meses, os direitos de acesso com privilégios de administrador e realizar as alterações necessárias;

XLII - solicitar para Intendência o relatório das conexões remotas realizadas, quando necessário.

Art. 59 – São responsabilidades do Comitê de Governança de Tecnologia e Segurança da Informação - CGTSI:

I - dirimir conflitos, solver omissões e suprir lacunas relacionados à Política de Segurança da Informação da OGE;

II - atuar como área de segurança da informação da OGE;

III – propor a PSI/OGE ao Gabinete da Ouvidoria-Geral do Estado;

IV - expedir orientações e procedimentos operacionais padrões;

V – exercer demais atribuições previstas no Regimento Interno do CGTSI.

Parágrafo único – É responsabilidade do Gabinete da Ouvidoria-Geral do Estado deliberar sobre as propostas da PSI/OGE.

Art. 60 – São responsabilidades da Diretoria de Recursos Humanos:

I - manter atualizadas as movimentações de pessoal da OGE e informar, mensalmente, as alterações, inclusive desligamentos, à DTI e aos administradores dos sistemas;

II - solicitar aos usuários a assinatura do Termo de Ciência da Política de Segurança da Informação.

Art. 61 – São responsabilidades da Assessoria de Comunicação Social:

I - auxiliar o CGTSI e a DTI na elaboração de campanhas relacionadas à conscientização em segurança da informação;

II - elaborar e executar, em parceria com a CGTSI, um plano de comunicação desta Política de Segurança da Informação e demais assuntos pertinentes a Segurança da Informação;

III - produzir identidade visual, materiais gráficos, textos publicitários e conteúdo multimídia para divulgação da Política de Segurança da Informação no âmbito da OGE.

Art. 62 – São responsabilidades da Controladoria Setorial:

I - adotar as medidas administrativas necessárias para apurar eventuais descumprimentos da PSI/OGE, de ofício ou mediante provocação do CGTSI, nos termos da legislação vigente;

II - participar da elaboração dos parâmetros para retenção e armazenamento dos dados obtidos nas auditorias de segurança da informação e de conformidade realizadas pelo CGTSI;

III – adotar demais medidas correlatas, de acordo com suas atribuições e competências.

Art. 63 – É vedado aos usuários:

I - instalar qualquer hardware ou software em estações de trabalho e dispositivos móveis da OGE sem a autorização formal da DTI;

II - emprestar o dispositivo móvel corporativo a terceiros;

III - divulgar dados de configuração de acesso da rede corporativa da OGE;

IV - acessar, armazenar, divulgar ou repassar qualquer material ligado à pornografia ou que implique na violação de quaisquer leis ou incentive crimes;

V - armazenar e acessar dados ou informações não ligados às atividades profissionais;

VI - acessar, propagar ou armazenar qualquer tipo de conteúdo malicioso, malware, vírus, worms, cavalos de tróia ou programas de controle de outros computadores;

VII - tratar assuntos relacionados ao trabalho em outros softwares de comunicação instantânea, mensageiros instantâneos ou programas de computador que permitam a comunicação imediata e direta entre usuários e grupos de usuários por meio da internet, em dispositivos pessoais e na rede corporativa, tais como Facebook, WhatsApp, Instagram e afins, exceto quando solicitado ao CGTSI e não for possível a comunicação por meio da ferramenta institucional de comunicação e colaboração;

VIII - fazer download de softwares não autorizadas e de mídias não ligadas às atividades profissionais;

IX - utilizar programas de computador, ferramentas, utilitários ou artifícios quaisquer para burlar os mecanismos de segurança estabelecidos pela OGE;

X - violar os lacres das estações de trabalho, ou de qualquer outro equipamento, ou ainda, abrir equipamentos mesmo que estejam sem lacres;

XI - registrar senha em meios físicos ou em qualquer outro meio que coloque em risco a sua confidencialidade;

XII - fornecer a senha de acesso à qualquer sistema/serviço do órgão ou entidade para outro usuário;

XIII - acessar qualquer sistema ou serviço da OGE por meio da identificação de outro usuário;

XIV - tentar obter acesso não autorizado, como tentativas de fraudar autenticação de usuário ou segurança de qualquer servidor, rede ou conta de acesso. Isso inclui acesso aos dados não disponíveis para o usuário, conectar-se a servidor ou conta cujo acesso não seja expressamente autorizado ao usuário ou colocar à prova a segurança de outras redes;

XV - utilizar senhas compartilhadas para acesso a qualquer recurso computacional do órgão ou entidade, exceto nos casos em que seja impossível a implantação de senha individual e devidamente autorizado pela área responsável;

XVI - tentar interferir nos serviços de qualquer outro usuário, servidor ou rede, inclusive ataques do tipo negação de serviço - DoS e DDoS, provocar congestionamento em redes, tentativas deliberadas de sobrecarregar ou invadir um servidor;

XVII - conectar equipamentos particulares à rede corporativa sem prévia autorização da área de segurança da informação;

XVIII - acessar as estações de trabalho sem autorização do responsável pela unidade;

XIX - movimentar as estações de trabalho, periféricos e ou equipamentos de rede sem autorização da DTI;

XX - incluir senhas em processos automáticos, como por exemplo, em arquivos de dados, programas de computador, macros, scripts, ferramentas, teclas de função ou outros, exceto se autorizado pela área de Segurança da Informação e desde que, comprovadamente, não haja comprometimento à segurança da informação;

XXI - armazenar informações corporativas da OGE em diretórios (pastas) públicos(as);

XXII - utilizar serviços de nuvem pública não coorporativos como DropBox, GoogleDrive, iCloud, entre outros, para armazenar informações da OGE;

XXIII - desativar o antivírus instalado nos equipamentos da OGE ou realizar qualquer alteração nas configurações da ferramenta;

XXIV – realizar o compartilhamento externo de qualquer software sem a autorização expressa da DTI ou de dados sob custódia da OGE sem a autorização do responsável competente.

CAPÍTULO IV

DISPOSIÇÕES FINAIS

Art. 64 – O CGTSI será instituído no âmbito da OGE até a data de entrada em vigor desta Resolução.

Art. 65 - O não cumprimento desta política por parte dos usuários sujeitará o responsável à suspensão temporária do acesso aos recursos informacionais e de comunicação da OGE e às penalidades previstas em Lei.

Art. 66 - Os detalhamentos das regras gerais estabelecidas nesta política serão descritos em Procedimentos Operacionais Padrão (POP), Regulamentos (REG) e Instruções de Trabalho (IT), elaborados pelo CGTSI, classificados por tema e disponibilizados aos servidores da OGE.

Art. 67 - Dúvidas, críticas e sugestões referentes a esta Política de Segurança da Informação devem ser encaminhadas ao CGTSI da OGE.

Art. 68 – A PSI/OGE deverá ser revista no prazo máximo de 03 (três) anos.

Art. 69 - Esta Resolução entra em vigor noventa dias a partir da data de sua publicação.

Belo Horizonte, 23 de julho de 2024

Simone Deoud Siqueira
Ouvidora-Geral do Estado de Minas Gerais

Este texto não substitui o publicado no Diário Oficial do Estado.

Publicação Diário do Executivo

CTL - Consultoria Técnico-Legislativa

Cidade Administrativa Presidente Tancredo Neves

Rodovia Papa João Paulo II, 4001
Edifício Tiradentes, 2º andar
Bairro Serra Verde - BH / MG
CEP: 31630-901

Nome do Remetente:
Email do Destinatário:
Mensagem:

Links

Enviar Legislação por Email