Portaria define tipos de documentos considerados secretos

CASA CIVIL INSTITUTO NACIONAL DE TECNOLOGIA DA INFORMAÇÃO PORTARIA Nº 25, DE 15 DE MAIO DE 2012 O DIRETOR PRESIDENTE DO INSTITUTO NACIONAL DE TECNOLOGIA DA INFORMAÇÃO, AUTARQUIA VINCULADA À CASA CIVIL DA PRESIDÊNCIA DA REPÚBLICA, no uso de suas atribuições, tendo em vista o disposto no art. 24 da Lei nº 12.527, de 18 novembro de 2011, Considerando que é dever dos órgãos e entidades do poder público assegurar a gestão transparente da informação, propiciando amplo acesso a ela e sua divulgação; Considerando que o direito fundamental de acesso à informação deve ser executado em conformidade com os princípios básicos da administração; Considerando que é dever do Estado controlar o acesso e a divulgação de informações sigilosas produzidas por seus órgãos e entidades, assegurando a sua proteção; Resolve classificar as informações contidas nesta Portaria, observado o seu teor e em razão de sua imprescindibilidade à segurança da sociedade ou do Estado, nos seguintes termos: Art. 1º Classificar como secretos os documentos elencados no Anexo 1 desta Portaria. Art. 2º Esta Portaria entra em vigor na data de sua publicação. RENATO DA SILVEIRA MARTINI ANEXO 1 Documentos Secretos Papéis de Trabalho/Auditoria; Relatórios/Auditoria; Conceitos de Risco/ Auditoria; Pareceres/Auditoria; Relação das pessoas que serão detentores partições de recursos criptográficos da AC, com respectivos termos de designação para a função; Relação das necessidades de acesso físico e lógico para cada cargo; Relação de pessoas que possuem acesso às chaves ou componentes de chaves criptográficas da AC com sua respectiva designação formal e atribuição de responsabilidades; Relação do pessoal contratado para a AC/cargo desempenhado e a respectiva documentação; Termos de Designação de Gestor ou Responsável pelos Ativos da AC (ativos de informação e de processamento); Termos de Responsabilidade sobre a segurança física da AC; Termos de responsabilidade contendo descrição dos recursos que os funcionários e detentores de chaves ou componentes de chaves criptográficas deverão devolver à AC no ato de seu desligamento; Inventário dos ativos de processamento da AC e da AR contendo nº do patrimônio, localização física, atividade a ser desenvolvida e agente responsável pela utilização; Inventário de cartões/chaves de acesso às dependências e recursos da AC (em uso ou no cofre); Relação das pessoas autorizadas a ter acesso aos componentes da Infraestrutura da AC (painéis de controle de energia, comunicações, cabeamento etc.); Documentação dos sistemas e dispositivos redundantes que estão disponíveis para garantir a continuidade da operação dos serviços críticos (elétrico, geradores, nobreak, ar condicionado etc.); Documentação dos sistemas que provêm segurança física (alarmes, monitoramento por câmaras de vídeo, proteção contra incêndio e detecção de fumaça, sistemas de controle de acesso físico); Documentação dos Equipamentos de Emergência; Planta baixa da área construída; Topologia das redes de cabos lógicos e elétricos; Documentação técnica da construção de segurança de nível 1, 2, 3, 4, 5 e 6; Relação dos procedimentos e ferramentas usados para controle do envio de equipamentos para manutenção e para controle de entrada e saída de indivíduos em ambiente de nível 3 e 4; Relação dos usuários cadastrados para acesso ao sistema operacional (/etc/passwd); Relação dos recursos da AC que possuem controle de acesso lógico e relação dos procedimentos e ferramentas usados para esse controle; Relação dos funcionários que possuem acesso lógico aos recursos da AC relacionados no item anterior; Relação dos procedimentos e ferramentas que serão usados para detectar e responder a violações de segurança; Sistemas e arquivos da AC sujeitos a backup; Relação dos procedimentos e ferramentas usados para realização de backup dos sistemas e arquivos relacionados no item anterior, e dos controles estabelecidos para guarda das mídias geradas; Relação dos sistemas da AC do qual serão extraídos logs, respectiva periodicidade de extração e forma de guarda dos arquivos gerados; Planilha relacionando os eventos de guarda obrigatórios, definidos no item 4.5.1 da DPC, e os arquivos de log citados no item anterio; Formato dos arquivos de log e descrição dos campos relevantes; Procedimentos previstos para análise dos logs (relatórios ou planilhas elaborados pelo responsável pela atividade) e das ações tomadas em decorrência, no caso de constatação de irregularidades; Relação dos softwares autorizados a estarem instalados nos servidores, estações de trabalho, notebooks e demais equipamentos da AC, com a respectiva versão; Documentação evidenciando que a versão dos softwares utilizados está de acordo com a recomendações dos fabricante; Procedimentos previstos para realização de auditorias internas nos equipamentos e/ou outras providências adotadas para evitar a utilização de softwares não autorizados nos equipamentos da AC relacionados no Inventário de Ativos; Procedimentos previstos para registrar as mudanças de configuração nos sistemas (aplicação de patches, instalação de novas versões, alteração de parâmetros do sistema, etc.); Relação dos arquivos/diretórios dos servidores da AC cuja integridade seja verificada periodicamente; Relação dos procedimentos e ferramentas que serão usados para verificação periódica de integridade dos arquivos/diretórios relacionados no item anterior; Diagrama topológico atualizado da rede interna e das ligações com redes externas, evidenciando também, caso existam, pontos de conexão para acesso remoto; Relação dos equipamentos, procedimentos e ferramentas usados para prover segurança à rede da AC; Política de segurança aplicada nos equipamentos e ferramentas listados no item anterior (política de senhas, login local/remoto e outros parâmetros de segurança); Relação dos procedimentos e ferramentas que serão usados para publicação da LCR da AC na periodicidade adequada; Análise de Risco com documentação que comprove a participação/conhecimento da alta administração; Plano de Continuidade de Negócios; Plano de Extinção; Procedimentos e scripts de instalação usados para criação da AC; Relação dos procedimentos e ferramentas que serão utilizados para geração, guarda, manuseio e destruição da chave da AC; Manuais contendo procedimentos executados na AC; Documentação técnica dos seguintes sistemas e equipamentos; Documentos gerados pela entidade auditada em tempo de auditoria; Transações (Logs); Sistema (Logs); Segurança (Logs); Imagens de Vídeo (CFTV); Registros de Entrada e Saída de Controle de Acesso; Registro de Alarmes e Eventos Diversas; Registros Telefônicos; Análise de Risco; Avaliação de Risco; Manual de Segurança Patrimonial; Manual de Administração da Autoridade Certificadora; Manual de Administração da Segurança; Manual de Administração do Sistema de Gestão de Certificados (SGC); Manual de Administração de Banco de Dados; Plano de Continuidade de Negócios; Plano de Recuperação de Desastre; Plano de Contingência; Plano de Ação de Resposta a Incidente; Plano de Gerência de Configuração e Mudança; Termo de Admissão; Termo de Desligamento; Termos de Responsabilidade de detentores de CIK; Plano de Treinamento; Manual de Auditoria Interna; Scripts/roteiros de operação; Diagramas da Rede de Computadores; Diagramas da Rede elétrica; Configuração de Equipamento; Especificação Técnica de Hardware; Especificação Técnica de Sistema; Especificação Técnica da Infraestrutura; Configuração de Sistema Controle de Acesso; Chave Privada de Autoridade Certifica Raiz (AC-Raiz); Senha de Operação /Administração de Equipamentos (Hardware); Senha de Operação /Administração do Sistema e Gestão de Certificados (SCG); Senha de Operação /Administração de Sistemas (Software); Senha de Operação /Administração do Sistema de extinção de Incêndio; Senha de Operação /Administração do Sistema de Intrusão; Senha de Operação /Administração do Circuito Fechado de TV; Senha de Operação /Administração do Controle Acesso Físico; Habilitação Jurídica; Laudo de Conformidade; Relatório de Análise Quantitativa e Qualitativa; Ensaios de Conformidade; Código - Fonte de Sistemas; Listas de Tarefas dos Vigilantes -Recepção; Livro de Registro de Destruição de Mídias e Documentos; Livro de Registro de Manutenção de Hardware; Livro de Registro de Presença - CCD - ITI; Livro de Registro de Termos de Cartão de Acesso-CCD; Livro de Registro de Termos de Entrada de Material; Livro de Registro de Termos de Saída de Material; Manual de Administração do Banco de Dados; Manual de Uso das Estações de Trabalho; Manual dos Administradores - CCD; Manual dos Vigilantes - CCD; Planilha de Controle de Cartões de Acesso do CCD; Planilha de Controle de Cds-Bakcup CFTV-CCD; Planilha de Controle de Chaves Mecânicas; Listas de Tarefas dos Vigilantes -Recepção; Livro de Registro de Destruição de Mídias e Documentos; Livro de Registro de Manutenção de Hardware; Sistemas (Logs); Servidores (Logs); Imagens de Vídeo (CFTV); Registro de Incidentes de Segurança; Registros Telefônicos; Base de dados de ferramentas de monitoramento (redes, sistemas, servidores); Documentação da topologia/arquitetura da rede; Arquivos de configuração de Firewall; Arquivos de configuração de Servidores; Arquivos de configuração de Switches; Diagramas da Rede Dados; Diagrama de CFTV; Diagramas da Rede elétrica; Dados de Fitas de Backup; E-mails Institucionais( Serviço de Correio Eletrônico); Arquivos do serviço de armazenamento de dados corporativos (Sistema de Aquivos Dados-ITI); Senha de Operação /Administração de Equipamentos (Hardware); Senha de Operação /Administração de Sistemas e Servidores (Software);Senha de Operação /Administração do Circuito Fechado de TV. (DOU nº 94, quarta-feira 16 de maio de 2012, Seção 1 páginas 1 e 2) Este documento pode ser verificado no endereço eletrônico o http://www.in.gov.br/autenticidade.html pelo código 00012012051600001