Legislação Correlata - Instrução Normativa 10 de 27/04/2022
INSTRUÇÃO NORMATIVA Nº 29, DE 11 DE AGOSTO DE 2020
Aprova a Norma de Segurança da Informação (NoSIC) do Instituto Brasília Ambiental.
O PRESIDENTE DO INSTITUTO DO MEIO AMBIENTE E DOS RECURSOS HÍDRICOS DO DISTRITO FEDERAL, Substituto, nos termos da Lei nº 3.984, de 28 de maio de 2007, e no uso de suas atribuições conferidas pelo Decreto nº 39.558, de 20 de dezembro de 2018, resolve:
Art. 1º Aprovar, na forma do Anexo Único desta Instrução Normativa, as Normas de Segurança da Informação do Brasília Ambiental.
Art. 2º Esta Instrução Normativa entra em vigor na data da sua publicação.
Art. 3º Revogam-se as disposições em sentido contrário.
NORMA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES (NOSIC) DO INSTITUTO DO MEIO AMBIENTE E DOS RECURSOS HÍDRICOS DO DISTRITO FEDERAL (BRASÍLIA AMBIENTAL)
Art. 1º A Norma de Segurança da Informação do Instituto do Meio Ambiente e dos Recursos Hídricos do Distrito Federal - Brasília Ambiental (NOSIC/BRASÍLIA AMBIENTAL) tem a finalidade de estabelecer diretrizes para a segurança e o manuseio, tratamento e controle dos dados, informações e conhecimentos produzidos, armazenados ou transmitidos por qualquer meio no âmbito do Brasília Ambiental, observadas as diretrizes estabelecidas em lei quanto à transparência e o acesso às informações.
§ 1º A Norma de Segurança da Informação é instrumento fundamental para garantir a segurança da informação, apresentando os princípios e requisitos de segurança da informação.
§ 2º A gestão de segurança da informação e comunicação deve apoiar e orientar a tomada de decisões institucionais e otimizar investimentos em segurança que visem à eficiência, eficácia e efetividade das atividades de segurança da informação e comunicação.
§ 3º A implantação da NOSIC/BRASÍLIA AMBIENTAL tem o objetivo de:
I - garantir os direitos individuais e coletivos dos servidores e prestadores de serviço, principalmente à inviolabilidade da sua intimidade e o sigilo das correspondências e das comunicações no âmbito do Brasília Ambiental;
II - proteger os dados, informações e conhecimentos produzidos, armazenados ou transmitidos, por qualquer meio, pelos sistemas de informação no âmbito do Brasília Ambiental;
III - limitar a exposição ao risco a níveis aceitáveis;
IV - buscar continuamente a disponibilidade, a integridade, a confidencialidade, a autenticidade e o não repúdio das informações que suportam os objetivos estratégicos do Brasília Ambiental.
Art. 2º Estão submetidos à NOSIC/BRASÍLIA AMBIENTAL todos os servidores, estagiários, prestadores de serviços e demais agentes públicos ou privados que, por força de quaisquer instrumentos, exerçam atividades no âmbito do Brasília Ambiental, bem como qualquer pessoa que venha a ter acesso aos ativos de informação do Brasília Ambiental.
Art. 3º A NOSIC/BRASÍLIA AMBIENTAL aplica-se a todas as unidades da estrutura administrativa do Instituto, devendo suas diretrizes, normas complementares e manuais de procedimentos ser observados.
Art. 4º São princípios que regem a NOSIC/BRASÍLIA AMBIENTAL:
I - A garantia do direito à intimidade e ao sigilo da correspondência e das comunicações individuais;
II - A proteção dos dados, informações e conhecimentos produzidos no Brasília Ambiental;
III - Privilégio Mínimo: usuários devem ter acesso apenas aos recursos de tecnologia da informação necessários para realizar as tarefas que lhe foram designadas;
IV - Simplicidade: a complexidade aumenta a chance de erros, portanto todos os controles de segurança deverão ser simples e objetivos.
DOS CONCEITOS E DAS DEFINIÇÕES
Art. 5º Para os fins da NOSIC/BRASÍLIA AMBIENTAL, consideram-se:
I - Access Point: dispositivos em uma rede sem fio que realiza a interconexão entre todos os dispositivos móveis;
II - Ameaça: evento que tem potencial em si próprio para comprometer os objetivos da organização, seja trazendo danos diretos aos ativos ou prejuízos decorrentes de situações inesperadas. Exploram as vulnerabilidades, ocasionando perda de confidencialidade, integridade ou disponibilidade;
III - Análise / Avaliação de Risco: processo de identificação de ameaças e vulnerabilidades associadas a um ativo de modo a estimar a probabilidade e o impacto na ocorrência de um incidente;
IV - Ativo da Informação: os meios de armazenamento, transmissão e processamento, os sistemas de informação, bem como os locais onde se encontram esses meios e as pessoas que a eles têm acesso;
V - Autenticidade: propriedade de que a informação foi produzida, expedida, modificada ou destruída por uma determinada pessoa física, ou por um determinado sistema, órgão ou entidade;
VI - Chave de Acesso: código de acesso atribuído a cada usuário. A cada chave de acesso é associada uma senha individual e intransferível, destinada a identificar o usuário, permitindo?lhe o acesso aos recursos disponíveis;
VII - Classificação da informação: atribuição, pela autoridade competente, de grau de sigilo dado à informação, documento, material, área ou instalação;
VIII - Confidencialidade: propriedade de que a informação não esteja disponível ou revelada a pessoa física, sistema, órgão ou entidade não autorizado e credenciado;
IX - Controle de Acesso: conjunto de procedimentos, recursos e meios utilizados com a finalidade de conceder ou bloquear o acesso;
X - Correio Eletrônico: é um método que permite compor, enviar e receber mensagens através de sistemas eletrônicos de comunicação;
XI - Diretriz: descrição que orienta o que deve ser feito, e como, para se alcançar os objetivos estabelecidos nas normas;
XII - Disponibilidade: propriedade de que a informação esteja acessível e utilizável sob demanda por uma pessoa física ou determinado sistema, órgão ou entidade, que detenha a autorização necessária de acesso;
XIII - DNS: Sistema de Nomes de Domínios que tem por objetivo gerenciar nomes hierárquicos em um sistema, através de duas funções: examinar e atualizar banco de dados e converter nomes de domínios em endereços de rede;
XIV - Gateway: Máquina intermediária que faz interconexão de redes de computadores distintas, separa domínios de colisão e traduz os protocolos utilizados nessas redes;
XV - Gestão de Segurança da Informação e Comunicações: conjunto de processos que permite identificar e implementar as medidas de proteção necessárias para minimizar ou eliminar os riscos a que estão sujeitos os seus ativos de informação, e equilibrá-los com os custos operacionais e financeiros envolvidos;
XVI - Hacker: Indivíduo com conhecimento amplo nas áreas da tecnologia e de informática que desenvolve funcionalidades novas e/ou adapta funcionalidades antigas do mundo digital. Elabora ou modifica softwares e hardwares de forma legal, a fim de obter melhorias;
XVII - Hardware: Parte física de um computador, formada pelos componentes eletrônicos, circuitos integrados e placas, que se comunicam através de barramentos;
XVIII - Incidente: é qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança dos sistemas de computação ou das redes de computadores;
XIX - Informação: dados, processados ou não, que podem ser utilizados para produção e transmissão de conhecimento, contidos em qualquer meio, suporte ou formato;
XX - Integridade: propriedade de que a informação não foi modificada ou destruída de maneira não autorizada ou acidental;
XXI - IP: número que identifica um dispositivo (computador, impressora, etc) em uma rede local ou pública;
XXII - Login: identificador de usuário em um programa ou rede de computadores. Os logins são fornecidos em conjunto com a senha pessoal e intransferível para ingresso a redes, softwares e utilitários;
XXIII - Norma de Segurança da Informação e das Comunicações (NOSIC): documento com o objetivo de fornecer diretrizes, critérios e suporte administrativo suficientes à implementação da segurança da informação e comunicações;
XXIV - Proxy: servidor que atende a requisições repassando os dados do cliente a frente. Um usuário (cliente) conecta-se a um servidor proxy, requisitando algum serviço, como um arquivo, conexão, website, ou outro recurso disponível em outro servidor;
XXV - Recursos de Tecnologia da Informação: conjunto de recursos tecnológicos integrados entre si, que proporcionam, por meio de hardware e software, a criação, acesso, armazenamento, transmissão e processamento de dados e informações;
XXVI - Risco: é a probabilidade de uma determinada ameaça se concretizar, combinada com os impactos que ela trará;
XXVII - Segurança da Informação e Comunicações: ações que objetivam viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações;
XXVIII - Sistemas de Informação: conjunto de meios de comunicação, computadores e redes de computadores, assim como dados e informações que podem ser armazenados, processados, recuperados ou transmitidos por serviços de telecomunicações, inclusive aplicativos, especificações e procedimentos para sua operação, uso e manutenção;
XXIX - Software: parte lógica de um computador, ou seja, são os programas (conjunto ordenado de instruções e dados) que são processados pelos circuitos eletrônicos do hardware;
XXX - Usuário: servidores, estagiários, prestadores de serviços e demais agentes públicos ou privados que exerçam atividades no âmbito do Brasília Ambiental que obtiveram autorização do responsável pela área interessada para acesso aos Ativos de Informação do órgão, formalizada por meio da assinatura do Termo de Responsabilidade;
XXXI - Vulnerabilidade: conjunto de fatores internos ou causa potencial de um incidente indesejado, que podem resultar em risco para um sistema ou organização, os quais podem ser evitados por uma ação interna de segurança da informação;
XXXII - WINS: serviço de cadastramento na Internet do Windows que mapeia dinamicamente endereços IP para nomes de computador.
Art. 6º Na aplicação e na interpretação das diretrizes estabelecidas nesta NOSIC/BRASÍLIA AMBIENTAL, devem ser observados os seguintes atos normativos, sem prejuízo da aplicação dos atos que venham a ser editados posteriormente:
I - Lei Federal nº 12.527, de 18 de novembro de 2011: regula o acesso a informações previsto no inciso XXXIII do art. 5º, no inciso II do § 3o do art. 37 e no § 2o do art. 216 da Constituição Federal; altera a Lei no 8.112, de 11 de dezembro de 1990; revoga a Lei nº 11.111, de 5 de maio de 2005, e dispositivos da Lei no 8.159, de 8 de janeiro de 1991; e dá outras providências.
II - Lei Federal nº 12.737, de 30 de novembro de 2012: dispõe sobre a tipificação criminal de delitos informáticos; altera o Decreto-Lei no 2.848, de 7 de dezembro de 1940 - Código Penal; e dá outras providências;
III - Lei Federal nº 12.965, de 23 de abril de 2014: estabelece princípios, garantias, direitos e deveres para uso da Internet no Brasil;
IV - Instrução Normativa nº 04 de 12 de novembro de 2010 – IN 04/SLTI/MPOG: dispõe sobre o processo de contratação de Soluções de Tecnologia da Informação pelos órgãos integrantes do Sistema de Administração dos Recursos de Informação e Informática (SISP) do Poder Executivo Federal;
V - Lei Distrital nº 2.572, de 20 de julho de 2000: dispõe sobre a prevenção das entidades públicas do Distrito Federal com relação aos procedimentos praticados na área de informática;
VI - Lei Distrital nº 4.990, de 12 de dezembro de 2012: regula o acesso a informações no Distrito Federal previsto no art. 5º, XXXIII, no art. 37, § 3º, II, e no art. 216, § 2º, da Constituição Federal e nos termos do art. 45, da Lei federal nº 12.527, de 18 de novembro de 2011, e dá outras providências;
VII - Decreto Distrital nº 25.750, de 12 de abril de 2005: regulamenta a Lei nº 2.572, de 20 de julho de 2000, que “Dispõe sobre a prevenção das entidades públicas do Distrito Federal com relação aos procedimentos praticados na área de informática”;
VIII - Decreto nº 34.276, de 11 de abril de 2013: regulamenta a Lei nº 4.990, de 12 de dezembro de 2012, que dispõe sobre o acesso a informações previsto no inciso XXXIII do art. 5º, no inciso II do §3º do art. 37 e no §2º do art. 216, todos da Constituição Federal de 1988;
IX - Decreto Distrital nº 35.382, de 29 de abril de 2014: regulamenta o art. 42, da Lei nº 4.990, de 12 de dezembro de 2012, dispõe sobre os procedimentos para credenciamento de segurança, sobre o Núcleo de Segurança e Credenciamento, institui o Comitê Gestor de Credenciamento de Segurança, e dá outras providências;
X - Decreto nº 37.574, de 26 de agosto de 2016: dispõe sobre a aprovação de Estratégia Geral de Tecnologia da Informação - EGTI, elaborada pelo Comitê Gestor de Tecnologia da Informação e Comunicação do Distrito Federal, revoga o Decreto n° 33.528, de 10 de fevereiro de 2012, e dá outras providências;
XI - Decreto nº 37.667, de 29 de setembro de 2016: dispõe sobre a contratação de bens e serviços de Tecnologia da Informação no âmbito da Administração Direta e Indireta do Distrito Federal, e dá outras providências;
XII - Decreto nº 38.541, de 05 de outubro de 2017: cria o Sistema de Inteligência de Segurança Pública do Distrito Federal - SISPDF e dá outras providências;
XIII - Portaria nº 334, de 11 de julho 2017: disciplina o uso institucional da Internet por meio da rede GDFNET, estabelecendo o bloqueio e/ou limite de acessos a determinados sítios e aplicações, além de restrições de horários para os acessos;
XIV - Resolução nº 3 de 06 de novembro de 2018: aprova a revisão da Política de Segurança da Informação e Comunicação (POSIC) do Governo do Distrito Federal;
XV - Instrução Normativa Nº 7 de 31 de março de 2020: dispõe sobre normas e procedimentos para solicitação de desenvolvimento de sistemas junto à Gerência de Sistemas - GESIS do Instituto Brasília Ambiental;
XVI - Instrução Normativa nº 14/2020 - IBRAM/PRESI: dispõe sobre normas e procedimentos a respeito do suporte aos usuários de tecnologia da informação do Brasília Ambiental;
XVII - ABNT NBR ISO/IEC 27002:2013 - Tecnologia da informação - Técnicas de segurança - Código de prática para a gestão da segurança da informação: esta Norma estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Os objetivos definidos nesta norma provêem diretrizes gerais sobre as metas geralmente aceitas para a gestão de segurança da informação;
XVIII - ABNT NBR ISO/IEC 27017:2016 - Tecnologia da informação - Técnicas de segurança: código de prática para controles de segurança da informação com base ABNT NBR ISO/IEC 27002 para serviços em nuvem.
Art. 7º São diretrizes gerais da NOSIC/BRASÍLIA AMBIENTAL:
I - A preservação da disponibilidade, integridade, confiabilidade e autenticidade dos dados, informações e conhecimentos que compõem os ativos de informação do Brasília Ambiental;
II - Continuidade das atividades;
III - Economicidade da proteção dos ativos de informação;
IV - Pessoalidade e utilidade do acesso aos ativos de informação; e
V - A responsabilização do usuário pelos atos que comprometam a segurança dos sistemas de informação.
Art. 8º A Segurança da Informação e Comunicações (SIC) é um conjunto de medidas que visa a proteção da informação contra as ameaças que possam impactar negativamente o negócio, a missão e a visão do Brasília Ambiental.
Art. 9º Toda e qualquer informação gerada, adquirida, utilizada ou armazenada no Brasília Ambiental é considerada parte do seu patrimônio e deve ser protegida quanto aos aspectos de:
DAS NORMAS DE SEGURANÇA DA INFORMAÇÃO
Art. 10 São normas que visam a garantir segurança às informações e comunicações produzidas no âmbito do Brasília Ambiental:
Art. 11. O login e a senha de rede e de sistemas de informações são a identidade do usuário no Brasília Ambiental.
Parágrafo único. A identidade do usuário é pessoal e intransferível, sendo o usuário o responsável exclusivo pela proteção da sua identidade.
Art. 12. Sempre que se ausentar da estação de trabalho, o usuário deve bloquear o acesso, seja por meio do encerramento da sessão virtual, seja por meio do desligamento da máquina.
Art. 13. Os dados dos usuários devem estar atualizados nos Sistemas Eletrônicos geridos pelo Brasília Ambiental.
Art. 14. O usuário terá acesso apenas aos sistemas e informações que realmente necessitar para a execução de sua atividade laboral.
Art. 15. Quando da exoneração de cargo em comissão, cargo de natureza especial ou cargo efetivo, afastamento, alteração de lotação, mudança de responsabilidades ou atribuições no Brasília Ambiental, bem como a adesão ao regime de teletrabalho, devem ser imediatamente revistos os direitos de acesso e uso dos sistemas e informações.
Parágrafo Único. Cabe à Diretoria de Gestão de Pessoas - DIGEP a comunicação imediata à Unidade de Tecnologia e Gestão de Informações Ambientais - UGIN das ocorrências deste artigo.
Art. 16. As contas e senhas são pessoais e intransferíveis e não devem ser compartilhadas.
Parágrafo único. Após a criação de contas de acesso à rede ou e-mail corporativo, é indispensável a modificação das senhas obedecendo o grau de complexidade definido pelo órgão.
Art. 17. Os usuários devem relatar imediatamente à Gerência de Infraestrutura - GEINFRA qualquer suspeita de tentativa de violação de segurança.
Art. 18. Cabe à GEINFRA a concessão de autorização de acesso ao usuário interessado.
Art. 19. As senhas devem ser alteradas, a cada 90 dias, cabendo à GEINFRA a implementação de meios para promover a alteração.
Art. 20. As instalações que custodiam as informações do Brasília Ambiental devem receber o nível de proteção adequado a sua criticidade, classificação e importância para o negócio, a missão e a visão do órgão.
Art. 21. O acesso de pessoas ao Centro de Processamento de Dados deve ser restrito àquelas devidamente autorizadas.
Parágrafo único. O acesso de terceiros deverá acontecer na presença de um servidor da unidade e ser registrado.
Tratamento de Incidentes de Rede
Art. 22. O tratamento de incidentes de redes é o processo que visa solucionar as falhas operacionais apuradas.
Art. 23. As falhas em sistemas de informação devem ser registradas imediatamente via chamado na área de atendimento ao usuário.
Parágrafo único. Caso o sistema não esteja acessível e outro computador próximo não estiver disponível - ou seja, uma falha geral - o chamado poderá ser aberto por telefone, cabendo à GEINFRA o registro no sistema de chamados.
Art. 24. A conexão através de redes sem fio (Wi-Fi) deverá ser feita apenas nos pontos de acesso (Access Points), disponibilizados pela GEINFRA, com acesso restrito de acordo com as necessidades de cada unidade.
Art. 25. O compartilhamento de pastas na rede será feito mediante solicitação da chefia da unidade no sistema de chamados para suporte de TI, informando nome, login e matrícula dos servidores, com o respectivo perfil de acesso (somente leitura/leitura e gravação) e dimensionamento estimado.
Art. 26. O compartilhamento de arquivos em “nuvem”, segue as normas federais de segurança da informação pautadas em consonância com as normas ABNT ISO/IEC 27017:2016 e ISO/IEC 27002:2013.
§ 1º Informações que contenham alguma regra de sigilo não devem constar em “nuvem” fora do ambiente GDFNET.
§ 2º O servidor que utilizar serviço em nuvem será responsável pelo atendimento às normas de segurança da informação.
Art. 27. O desenvolvimento de sistemas de informação interno, deve seguir os procedimentos definidos na Instrução Normativa nº 7/2020.
Parágrafo único. É vedado desenvolvimentos internos sem a participação do corpo técnico da Gerência de Sistemas - GESIS.
Art. 28. O desenvolvimento de sistemas de informação externos deve seguir procedimentos do Decreto nº 37.667, de 29 de setembro de 2016 ou outro que porventura o substitua.
Art. 29. As informações sensíveis para a execução dos objetivos, missão e visão do Brasília Ambiental devem ser classificadas pelo gerador da informação, nos termos da Lei nº 4.990, de 12 de dezembro de 2012.
Uso da Internet e Recursos de Tecnologia da Informação
Art. 30. O acesso à Internet no âmbito do Brasília Ambiental deve ser realizado com a finalidade exclusiva de executar as atividades de interesse público e àquelas desempenhadas pelo órgão, observando sempre a moralidade administrativa.
Art. 31. A GEINFRA irá monitorar os acessos à Internet, recursos e sistemas de informação dentro das dependências do Brasília Ambiental e bloqueará sites que tenham conteúdo suspeito e perigoso para a execução dos objetivos, missão e visão da Instituição, segundo diretrizes da Subsecretaria de Tecnologia da Informação e Comunicação - SUTIC.
Art. 32. Caso o usuário observe que algum site suspeito ou perigoso esteja com acesso liberado, deverá informar imediatamente à GEINFRA.
Art. 33. Caso algum endereço necessário ao bom andamento dos trabalhos esteja bloqueado indevidamente, a GEINFRA deverá ser comunicada, via processo SEI com justificativa de utilização do site para análise do conteúdo e da possibilidade de desbloqueio junto à SUTIC.
Art. 34. O acesso a serviços de Internet que dependam de portas de comunicação específicas deverá ser submetido à análise da GEINFRA, para verificação da possibilidade de liberação de acesso junto à SUTIC.
I - a instalação de softwares não homologados ou não licenciados pela GEINFRA;
II - o acesso ou a tentativa de acesso a recurso tecnológico do qual não seja detentor de autorização, em especial àqueles que contenham conteúdo considerado ofensivo, ilegal ou impróprio;
III - a utilização dos recursos tecnológicos do Brasília Ambiental para fins estranhos às atividades fim do órgão;
IV - a prática de quaisquer atos tendentes a tornar indisponível qualquer recurso tecnológico sem autorização;
V - o uso de provedores de acesso externos ou de qualquer outra forma de conexão não autorizada no ambiente de rede do Brasília Ambiental;
VI - configurar ou alterar as configurações de rede e de acesso à Internet dos computadores do Brasília Ambiental, incluindo as seguintes configurações de rede: IP, DNS, WINS, Gateway, Proxy e a instalação ou reconfiguração de clientes Proxy;
VII - enviar, fazer download ou manter arquivos de imagens, músicas, vídeo, arquivos executáveis em geral ou quaisquer outros de caráter pessoal;
VIII - acesso a sites de Internet com conteúdo pornográfico, jogos, hacker ou que contenha ferramentas ou regras para invasões de rede, quebra de criptografia, senhas ou outros eventos de segurança;
IX - a utilização de sites do tipo Proxy, sendo o descumprimento desta orientação considerado como falta grave;
Art. 36. O usuário é responsável pela integridade do equipamento computacional que está operando.
Art. 37. A disponibilização de acesso à Internet para uso de visitantes ou equipamentos particulares, como laptops, smartphones e tablets, deverá ser separada da rede corporativa.
Art. 38. É obrigatório o uso do correio eletrônico corporativo como meio de envio e recebimento de informações inerentes às atividades institucionais do Brasília Ambiental, vedada a sua utilização para fins particulares.
Art. 39. O acesso diário à caixa de mensagens eletrônicas corporativa é responsabilidade exclusiva do usuário.
Art. 40. A GEINFRA deverá, ouvido previamente o Comitê Gestor de Tecnologia da Informação - CGTI, adotar medidas para bloquear o acesso, pela rede do Brasília Ambiental, aos servidores de correios eletrônicos comerciais quando identificado o mau uso.
Art. 41. Os requisitos de segurança da informação devem estar explicitamente citados em todos os termos de compromisso celebrados com terceiros.
Art. 42. Cabe aos coordenadores de grupos de trabalho, comissões ou outros solicitar a inclusão e o encerramento de e-mail que forem utilizados em suas atividades.
Parágrafo único. Os e-mails individuais serão encerrados e criados quando comunicados pela DIGEP de acordo com o parágrafo único do artigo 15.
Art. 43. A instalação de softwares homologados e licenciados será realizada apenas pela GEINFRA.
Art. 44. A instalação de softwares em versão trial deverá ser requerida à UGIN constando no mínimo: nome do software, endereço de download, justificativa, rotinas que poderão ser beneficiadas e tempo de validade da ferramenta.
Art. 45. Após utilização do trial, deverá ser repassada à UGIN avaliação do software informando o interesse na aquisição permanente.
Art. 46. Após cumprimento dos artigos 44 e 45, a UGIN encaminhará para avaliação do CGTI os softwares considerados necessários à continuidade das atividades.
DAS COMPETÊNCIAS E DAS RESPONSABILIDADES
Art. 47. Essa Norma deve ser cumprida por todos os agentes públicos ou particulares que, por força de convênios, protocolos, acordos de cooperação e instrumentos congêneres executem atividades vinculadas ao órgão.
Art. 48. Compete ao Presidente do Brasília Ambiental, com prévia manifestação do Comitê Gestor da Tecnologia da Informação:
I - aprovar e determinar a publicação da NOSIC/BRASÍLIA AMBIENTAL e suas modificações;
II - apoiar a implantação dos controles de segurança da informação observando a coordenação e relevância para toda a casa;
III - garantir os recursos necessários para a implantação e gestão da NOSIC/BRASÍLIA AMBIENTAL;
IV - aprovar modificações à NOSIC/BRASÍLIA AMBIENTAL propostas pelo Comitê Gestor de Tecnologia da Informação do Brasília Ambiental;
V - praticar outros atos inerentes à aplicação e à observância da NOSIC/BRASÍLIA AMBIENTAL.
Art. 49. Compete à UGIN por meio da GEINFRA:
I - promover a cultura de segurança da informação e comunicações;
II - acompanhar as investigações e as avaliações dos danos decorrentes de quebras de segurança;
III - propor recursos necessários às ações de segurança da informação e comunicações;
IV - coordenar a Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais;
V - realizar e acompanhar estudos de novas tecnologias, quanto a possíveis impactos na segurança da informação e comunicações;
VI - propor normas relativas à segurança da informação e comunicações;
VII - propor modificações à NOSIC;
VIII - definir estratégias para a implantação da NOSIC;
IX - editar normas complementares e procedimentos de segurança da informação e das comunicações;
X - planejar e coordenar a execução dos programas, planos, projetos e ações de segurança.
Art. 50. O descumprimento ou inobservância das diretrizes estabelecidas nesta NOSIC/BRASÍLIA AMBIENTAL acarretará a responsabilização administrativa do agente, sem prejuízo de outras medidas que se façam necessárias.
Art. 51. A NOSIC/BRASÍLIA AMBIENTAL deve ser atualizada periodicamente a cada quatro anos, ou a qualquer tempo, caso haja necessidade de adequação às novas tecnologias implementadas no Brasília Ambiental.
Art. 52. Os casos omissos, as dúvidas e as divergências com relação à NOSIC, serão apreciadas pelo Comitê Gestor de Tecnologia da Informação do Brasília Ambiental – CSIC.
Este texto não substitui o publicado no DODF nº 156 de 18/08/2020 p. 55, col. 1
DODF nº 156, seção 1, 2 e 3 de 18/08/2020