PORTARIA SEF N° 131/2020

PeSEF de 15.05.20

Aprova a Política de Segurança da Informação e da Comunicação (POSIC) da Secretaria de Estado da Fazenda (SEF) e estabelece outras providências.

O SECRETÁRIO DE ESTADO DA FAZENDA, no uso das atribuições estabelecidas no inciso III do parágrafo único do art. 74 da Constituição do Estado, bem como no inciso I do § 2º do art. 106 da Lei Complementar nº 741, de 12 de junho de 2019,

RESOLVE:

Art. 1º Fica aprovada, nos termos do Anexo Único desta Portaria, a Política de Segurança da Informação e da Comunicação (POSIC) da Secretaria de Estado da Fazenda (SEF) com o objetivo de estabelecer diretrizes estratégicas, critérios e suporte administrativo para a implementação de ações que visem garantir a disponibilidade, a integridade, a confidencialidade e a autenticidade dos dados, informações e documentos custodiados ou de propriedade do respectivo órgão.

Parágrafo único. A POSIC se aplica aos usuários da SEF e deve ser observada no manuseio, tratamento, controle e proteção das informações e conhecimentos produzidos, armazenados ou transmitidos pelos sistemas de informação ou por meio de outros recursos.

Art. 2º A Diretoria de Administração Tributária (DIAT), devido às suas especificidades, será regida por POSIC própria, alinhada, no que couber, à POSIC da SEF.

Parágrafo único. A POSIC da DIAT, antes de ser aprovada pelo respectivo órgão, deverá ser submetida à avaliação e à aprovação do Comitê de Segurança da Informação e da Comunicação da SEF.

Art. 3º Fica instituído, no âmbito da SEF, o Comitê Gestor da Segurança da Informação, com atribuição de assessorar o Gabinete do Secretário de Estado da Fazenda nas atividades relacionadas à segurança da informação.

Art. 4º O Comitê referido no art. 3º desta Portaria será composto por um representante titular e respectivo suplente indicados pelos seguintes órgãos:

I – Gabinete do Secretário Adjunto (GABA);

II – Diretoria de Administração Tributária (DIAT);

III – Diretoria de Contabilidade e de Informações Fiscais (DCIF).

§ 1º Os membros do Comitê serão indicados pelos titulares dos órgãos mencionados no caput deste artigo, no prazo de 10 (dez) dias, e designados em ato do Secretário de Estado da Fazenda, no prazo de 20 (vinte) dias, ambos os prazos contados da data de publicação desta Portaria.

§ 2º Os membros titulares do Comitê serão substituídos pelos respectivos suplentes em suas ausências ou impedimentos.

§ 3º A participação no Comitê será considerada prestação de serviço público relevante, não remunerada.

§ 4º No prazo de 90 (noventa) dias, contado da data de publicação desta Portaria, será aprovado regimento interno para dispor sobre a organização e o funcionamento do Comitê.

Art. 5º O Comitê se reunirá, em caráter ordinário, semestralmente e, em caráter extraordinário, por convocação de seu Coordenador.

§ 1º As reuniões do Comitê ocorrerão em primeira convocação com a presença da maioria simples de seus membros ou, 15 (quinze) minutos após o horário estabelecido, em segunda convocação, com a presença de, no mínimo, 1/3 (um terço) de seus membros.

§ 2º O Comitê poderá sugerir ao Secretário de Estado da Fazenda a instituição de grupos de trabalho ou câmaras técnicas, e também convidar representantes do setor público ou privado e especialistas com notório saber, para tratar de temas específicos relacionados à segurança da informação.

§ 3º A composição, o funcionamento e as competências dos grupos de trabalho ou câmaras técnicas serão estabelecidos pelo Comitê.

§ 4º As deliberações do Comitê serão aprovadas pela maioria simples dos membros presentes, computado o voto do Coordenador, a quem cabe ainda o voto de desempate.

Art. 6º O Gabinete do Secretário Adjunto prestará o apoio técnico e administrativo necessário ao Comitê.

Art. 7º A íntegra da POSIC da SEF será disponibilizada no seu sítio na Internet.

Art. 8º Esta Portaria entra em vigor na data de sua publicação.

Florianópolis, 12 de maio de 2020.

Paulo eli

Secretário de Estado da Fazenda

ANEXO ÚNICO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E DA COMUNICAÇÃO (POSIC) DA SECRETARIA DE ESTADO DA FAZENDA (SEF)

CAPÍTULO I

DISPOSIÇÕES GERAIS

SEÇÃO I

ESCOPO

Art. 1º A Política de Segurança da Informação e da Comunicação (POSIC) da Secretaria de Estado da Fazenda (SEF) tem por objetivo estabelecer diretrizes estratégicas, critérios e suporte administrativo para implementação da Segurança da Informação e Comunicação (SIC) visando garantir a disponibilidade, a integridade, a confidencialidade e a autenticidade dos dados, informações e documentos custodiados ou de propriedade do respectivo órgão.

§ 1º A POSIC trata de procedimentos de uso de dados, informações e documentos no âmbito da SEF em todo o seu ciclo de vida (criação, manuseio, divulgação, armazenamento, transporte e descarte), visando à continuidade de seus processos críticos, em conformidade com a legislação vigente, normas, requisitos regulamentares e contratuais, valores éticos e as melhores práticas de segurança da informação e comunicação.

§ 2º A POSIC se aplica a todos os colaboradores da SEF, como servidores públicos, terceirizados, consultores, fornecedores ou estagiários, e a indivíduos que direta ou indiretamente utilizam ou suportam os sistemas de informação, a infraestrutura de tecnologia da informação e comunicação, doravante tratados como usuários.

SEÇÃO II

CONCEITOS E DEFINIÇÕES

Art. 2º Para os efeitos desta POSIC entende-se por:

I – Assinatura digital: conjunto de dados criptografados, associado a determinado documento ou arquivo assinado, com o fim de garantir a autenticidade, a integridade e a irretratabilidade das informações constantes do documento, sua autoria e eventuais modificações;

II – Ativo de informação: patrimônio composto por dados, informações e conhecimentos obtidos, gerados e manipulados durante a execução dos sistemas e processos de trabalho;

III – Banco de Dados (ou Base de Dados): é um sistema de armazenamento de dados, ou seja, um conjunto de registros que tem como objetivo organizar e guardar as informações;

IV – Cópia de Segurança (Backup): a cópia de dados de um dispositivo de armazenamento a outro para que possam ser restaurados em caso da perda dos dados originais;

V – Comitê de Segurança da Informação e Comunicações: grupo de pessoas com a responsabilidade de assessorar a implementação das ações de segurança da informação e comunicação no âmbito SEF;

VI – Computação em nuvem: modelo computacional que permite acesso, por demanda e independentemente da localização, a conjunto compartilhado de recursos configuráveis de computação (rede de computadores, servidores, armazenamento, aplicativos e serviços), provisionados com esforços mínimos de gestão ou interação com o provedor de serviços;

VII – Controle de acesso: conjunto de procedimentos, recursos e meios utilizados com a finalidade de conceder ou bloquear o acesso a determinado recurso;

VIII – Custodiante da informação: usuário que atua em uma ou mais das seguintes fases do tratamento da informação: recepção, produção, reprodução, utilização, acesso, transporte, transmissão, distribuição, armazenamento, eliminação e no controle da informação, incluindo a sigilosa;

IX – Dispositivos móveis: equipamentos portáteis, dotados de capacidade computacional, e dispositivos removíveis de memória para armazenamento, dentre eles: notebooks, netbooks, smartphones, tablets, pen drives, USB drives, HD externos e cartões de memória;

X – Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais (ETIR): grupo de pessoas com a responsabilidade de receber, analisar e responder a notificações e atividades relacionadas a incidentes de segurança em computadores;

XI – Gestão de continuidade: processo abrangente de gestão que identifica ameaças potenciais para uma organização e os possíveis impactos nas suas operações caso essas ameaças se concretizem. Esse processo fornece estrutura para que se desenvolva uma resiliência organizacional capaz de responder efetivamente e salvaguardar os interesses das partes envolvidas, a reputação e a marca da organização ???, assim como seus processos e seu valor agregado. É o resultado da fusão dos Planos de Contingência e dos Planos de Recuperação de Desastres que objetiva garantir a recuperação de um ambiente de produção, independentemente de eventos que suspendam suas operações e de danos nos componentes (processos, pessoas softwares, hardware, infraestrutura etc.) por ele utilizados;

XII – Gestão de Segurança da Informação e Comunicação: ações e métodos que visam à integração das atividades de gestão de riscos, gestão de continuidade, tratamento de incidentes, tratamento da informação, conformidade, credenciamento, segurança cibernética, segurança física, segurança lógica, segurança orgânica e segurança organizacional aos processos institucionais estratégicos, operacionais e táticos, não se limitando, portanto, à Tecnologia da Informação e Comunicação (TIC);

XIII – Gestão de Riscos em Segurança da Informação e Comunicação: conjunto de processos que permite identificar e implementar as medidas de proteção necessárias para minimizar ou eliminar os riscos a que estão sujeitos os seus ativos de informação, e equilibrá-los com os custos operacionais e financeiros envolvidos;

XIV – Gestor de Segurança da Informação e Comunicação: responsável pelas ações de segurança da informação e comunicação no âmbito da SEF;

XV – Inventário e Mapeamento de Ativos de Informação: processo interativo e evolutivo, composto por três etapas:

a) a identificação e classificação de ativos de informação;

b) identificação de potenciais ameaças e vulnerabilidades; e

c) avaliação de riscos.

XVI – Política de Segurança da Informação e Comunicação (POSIC): documento aprovado pela autoridade responsável pelo órgão com objetivo de fornecer diretrizes estratégicas, critérios e suporte administrativo suficientes à implementação da Segurança da Informação e da Comunicação (SIC);

XVII – Recurso Criptográfico: sistemas, programas, processos e equipamento, isolado ou em rede, que utiliza algoritmo simétrico ou assimétrico para realizar a cifração ou decifração;

XVIII – Segurança da Informação e Comunicação (SIC): ações que objetivam viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade dos dados, informações e documentos;

XIX – Termo de Responsabilidade (TR): termo assinado pelo usuário em que concorda em contribuir com a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações que tiver acesso, bem como assume as responsabilidades decorrentes de tal acesso;

XX – Termo de Confidencialidade (TC): documento formal, a ser assinado por prestadores de serviço da SEF, por meio do qual se comprometem a manter sigilo em relação às informações consideradas confidenciais e respeitar as normas de segurança vigentes;

XXI – Tratamento da informação: recepção, produção, reprodução, utilização, acesso, transporte, transmissão, distribuição, armazenamento, eliminação e controle da informação, inclusive as sigilosas;

XXII – Trilhas de Auditoria: são rotinas específicas programadas nos sistemas para fornecerem informações de interesse da auditoria. São entendidas como o conjunto cronológico de registros (logs) que proporcionam evidências do funcionamento do sistema. Esses registros podem ser utilizados para reconstruir, rever/revisar e examinar transações desde a entrada de dados até a saída dos resultados finais, bem como para avaliar/rastrear o uso do sistema, detectando e identificando usuários não autorizados; e

XXIII – Usuários: servidores, terceirizados, consultores, auditores, estagiários que obtiveram autorização do responsável pela área interessada para acesso aos ativos de informação da SEF, formalizada por meio da assinatura do Termo de Responsabilidade.

SEÇÃO III

PRINCÍPIOS

Art. 3º A POSIC da SEF orienta-se pelos seguintes princípios:

I – Disponibilidade: garante que a informação estará acessível e utilizável por pessoa física, sistema, órgão ou entidade, quando requisitada;

II – Integridade: garante que a informação não será modificada, gravada ou excluída sem autorização ou acidentalmente;

III – Confidencialidade: garante que a informação será acessada apenas por pessoa física, sistema, órgão ou entidade autorizada e credenciada; e

IV – Autenticidade: garante a identificação de pessoa física, sistema, órgão ou entidade que produziu, expediu, modificou ou excluiu a informação.

Art. 4º As ações de SIC, no âmbito da SEF, são norteadas pelos seguintes princípios:

I – Criticidade: a importância da informação deve ser ponderada para a continuidade do negócio da organização;

II – Celeridade: as respostas a incidentes e falhas de segurança devem ser rápidas;

III – Clareza: as regras e a documentação sobre segurança da informação e comunicação devem ser elaboradas de forma clara, precisa, concisa e de fácil entendimento;

IV – Ética: a segurança da informação e comunicação deve ser alcançada com preservação do direito do servidor, militar, colaborador, estagiário e prestador de serviços;

V – Legalidade: devem ser observadas as leis e políticas organizacionais administrativas, técnicas e operacionais vigentes; e

VI – Responsabilidade: os usuários são responsáveis pelo cumprimento desta POSIC e devem respeitar a legislação e normas pertinentes à SIC vigentes.

Parágrafo único. São observados, ainda, sem prejuízo dos demais, os princípios constitucionais, administrativos e do arcabouço legislativo vigente que regem a Administração Pública Estadual.

CAPÍTULO II

DIRETRIZES

SEÇÃO I

PRESSUPOSTOS BÁSICOS

Art. 5º Esta POSIC tem como principal diretriz a preservação da disponibilidade, integridade, confiabilidade e autenticidade dos dados, informações e conhecimentos que compõem o ativo da informação da SEF.

Art. 6º O sucesso das ações de SIC está diretamente associado à capacitação científico-tecnológica dos recursos humanos envolvidos, à conscientização do público interno, à qualidade das soluções adotadas e à proteção das informações contra ameaças e vulnerabilidades internas e externas.

Art. 7º A informação é um recurso vital para o adequado funcionamento de toda e qualquer organização, devendo ser tratada como patrimônio a ser protegido e preservado.

Art. 8º A POSIC é o instrumento que regula a proteção dos dados, informações e conhecimentos da Instituição, com vistas à garantia de integridade, disponibilidade, conformidade e confidencialidade.

Art. 9º Todos os servidores e estagiários da SEF e demais agentes públicos ou particulares que, oficialmente, executem atividade vinculada à atuação institucional do órgão e sejam usuários dos ativos sigilosos, devem assinar o Termo de Responsabilidade quanto ao sigilo dos dados, informações e conhecimentos da SEF.

Art. 10. Para cada uma das diretrizes constantes nesta POSIC devem ser elaboradas normas técnicas específicas, manuais e procedimentos.

SEÇÃO II

TRATAMENTO DA INFORMAÇÃO

Art. 11. Toda informação criada, adquirida ou custodiada pelo usuário, no exercício de suas atividades, é considerada bem e propriedade da SEF e deve ser protegida segundo as diretrizes descritas nesta POSIC e demais regulamentações em vigor, com o objetivo de minimizar riscos às atividades e serviços do órgão e preservar sua imagem.

Art. 12. É expressamente proibido o acesso, a guarda ou o encaminhamento de material discriminatório, malicioso, não ético, obsceno ou ilegal por intermédio de quaisquer meios e recursos de tecnologia da informação disponibilizados pela SEF.

Art. 13. Os ativos de informação devem ser protegidos de forma preventiva, com o objetivo de minimizar riscos às atividades e aos objetivos de negócio da SEF.

Art. 14. As informações criadas, armazenadas, manuseadas, transportadas ou descartadas devem ser classificadas segundo o grau de sigilo, criticidade e outros, conforme normas internas e legislação específica em vigor.

Art. 15. Todo usuário deve respeitar a classificação atribuída a uma informação e, a partir dela, conhecer e obedecer às restrições de acesso e divulgação associadas.

Art. 16. As informações produzidas ou custodiadas pela SEF devem ser descartadas conforme o seu nível de classificação.

Art. 17. Deve ser disponibilizada uma solução de Gestão Eletrônica de Documentos com mecanismos de assinatura digital aderente à legislação em vigor, com a finalidade de mitigar riscos associados à informação impressa.

Art. 18. A manipulação de informações classificadas em qualquer grau de sigilo deve seguir as normas internas e a legislação em vigor.

Art. 19. A destruição de dados sigilosos deve ser feita por método que sobrescreva as informações armazenadas. Se não estiver ao alcance do órgão a destruição lógica, deverá ser providenciada a destruição física por incineração dos dispositivos de armazenamento.

SEÇÃO III

TRATAMENTO DE INCIDENTES

Art. 20. A Gerência de Tecnologia da Informação manterá equipe com a responsabilidade de receber, analisar e responder notificações e atividades relacionadas a incidentes de segurança em rede de computadores.

SEÇÃO IV

GESTÃO DE RISCOS

Art. 21. Os riscos devem ser continuamente monitorados e tratados, de acordo com as vulnerabilidades associadas aos ativos de informação e aos níveis de risco, conforme procedimentos definidos em norma específica sobre gestão de riscos em segurança da informação e comunicações.

Art. 22. Os usuários são responsáveis por adotar as medidas de proteção necessárias para minimizar ou eliminar os riscos a que estão sujeitos seus ativos de informação no âmbito da SEF.

Art. 23. O processo de inventário e mapeamento de ativos de informação deve ser aplicado tanto na gestão de riscos quanto na gestão de continuidade, conforme procedimentos definidos em norma específica sobre o tema.

SEÇÃO V

GESTÃO DE CONTINUIDADE

Art. 24.  A SEF deve manter processo de gestão de continuidade das atividades e processos críticos, visando não permitir que estes sejam interrompidos e assegurar a sua retomada em tempo hábil.

Art. 25. As informações de propriedade ou custodiadas pela SEF, quando armazenadas em meio eletrônico, devem ser providas de cópia de segurança atualizada e guardada em local remoto, a uma distância suficiente para que se evitem os danos de desastres ocorridos no local principal, de forma a garantir a continuidade das atividades do órgão.

Art. 26. As informações armazenadas em outros meios devem possuir mecanismos de proteção que preservem sua integridade, conforme o nível de classificação atribuído.

SEÇÃO VI

AUDITORIA E CONFORMIDADE

Art. 27. A SEF deve criar e manter registros e procedimentos, como trilhas de auditoria, que possibilitem o rastreamento, o acompanhamento, o controle e a verificação de acessos aos sistemas corporativos e da rede interna do órgão.

Art. 28. Deve ser realizada, com periodicidade mínima anual, verificação de conformidade das práticas de SIC aplicadas na SEF com esta POSIC, bem como com a legislação específica em vigor.

Art. 29. A verificação de conformidade deve também ser realizada nos contratos, convênios, acordos de cooperação e outros instrumentos do mesmo gênero celebrados com a SEF.

Art. 30. A verificação de conformidade poderá combinar ampla variedade de técnicas, tais como análise de documentos, análise de registros (logs), análise de código-fonte, entrevistas e testes de invasão.

Art. 31. Os resultados de cada ação de verificação de conformidade serão documentados em Relatório de Avaliação de Conformidade.

Art. 32. Os procedimentos e as metodologias utilizados na auditoria e na verificação de conformidade no âmbito da SEF serão definidos em norma específica, de acordo com as diretrizes desta POSIC e demais legislações em vigor.

SEÇÃO VII

NORMAS DE SEGURANÇA DA INFORMAÇÃO E DA COMUNICAÇÃO

Art. 33. O controle de acesso aos sistemas corporativos, o credenciamento de acesso de usuários aos ativos de informação e o acesso às informações em áreas e instalações consideradas críticas devem ser implantados nos níveis físico e lógico, e serão definidos em norma específica, em conformidade com as diretrizes desta POSIC.

Art. 34. O uso de e-mail no âmbito da SEF deve ser definido em norma específica, em conformidade com as diretrizes desta POSIC, e deve tratar, dentre outras coisas, do controle de acesso.

Art. 35. O acesso à rede mundial de computadores (Internet), no âmbito da SEF, deve ser definido em norma específica, em conformidade com as diretrizes desta POSIC, orientações governamentais e legislações específicas em vigor.

Art. 36. Nos aspectos relacionados à SIC, o processo de elaboração do inventário e mapeamento de ativos de informação deve produzir subsídios para a gestão de SIC, gestão de riscos de SIC, gestão de continuidade de negócios, bem como para os procedimentos de avaliação da conformidade, de melhorias contínuas, de auditoria e, principalmente, de estruturação e de geração da base de dados sobre os ativos de informação.

Parágrafo único. O processo de elaboração do inventário e mapeamento de ativos de informação deve ser dinâmico, periódico e estruturado, para manter a Base de Dados de Ativos de Informação atualizada e, consequentemente, prover informações para o desenvolvimento de ações e planos de aperfeiçoamento de práticas de Gestão da Segurança da Informação e Comunicação.

Art. 37. O uso de dispositivos móveis para acesso aos recursos computacionais no âmbito da SEF deve ser controlado, mediante a implementação de mecanismos de autenticação, autorização e registro de acesso do usuário, e ser definido em norma específica, em conformidade com as diretrizes desta POSIC.

Art. 38. A implementação ou contratação de computação em nuvem no âmbito da SEF deve ser definida em norma específica, em conformidade com as diretrizes desta POSIC e com as demais legislações vigentes sobre o tema.

Art. 39. A cifração e a decifração de informações classificadas em qualquer grau de sigilo devem utilizar recurso criptográfico, conforme procedimentos definidos em norma e legislações específicas em vigor.

Art. 40. Os sistemas corporativos da SEF que contenham tabelas com senhas deverão armazená-las de forma cifrada.

Art. 41. O uso institucional das redes sociais deve ser norteado por diretrizes, critérios, limitações e responsabilidades definidas em norma complementar, em conformidade com as diretrizes desta POSIC.

SEÇÃO VIII

CONTRATAÇÃO DE SERVIÇOS TERCEIRIZADOS

Art. 42. Os termos e procedimentos para contratação de serviços terceirizados serão detalhados em norma complementar específica.

§ 1º O apoio técnico aos processos de planejamento e avaliação da qualidade das soluções de tecnologia da informação e da comunicação poderá ser objeto de contratação, desde que sob supervisão da SEF.

§ 2º Nos editais de licitação e nos contratos entre empresas prestadoras de serviços e a SEF deverá constar cláusula específica sobre a obrigatoriedade de atendimento às normas desta POSIC, bem como ser exigida da contratada as ciências do Termo de Responsabilidade e do Termo de Confidencialidade.

§ 3º A contratada também deverá demonstrar que possui mecanismos que assegurem a segurança das informações da SEF por ela acessadas direta ou indiretamente (acesso aos ativos que contêm informações) e cumprir o disposto nesta POSIC quando aplicável.

Art. 43. Não poderá ser objeto de contratação a supervisão dos processos de tecnologia da informação e de segurança da informação e da comunicação no âmbito da SEF.

CAPÍTULO III

COMPETÊNCIAS

Art. 44. Ao Comitê de Segurança da Informação e da Comunicação compete:

I – Atualizar a POSIC;

II – Propor, analisar e aprovar normas complementares relativas à segurança da informação e comunicações, em conformidade com as legislações vigentes sobre o tema;

III – Tratar dos assuntos de segurança da informação e da comunicação no âmbito da SEF e assessorar diretamente o Gabinete do Secretário de Estado da Fazenda nas questões pertinentes.

Art. 45. À Gerência de Tecnologia da Informação e Comunicação compete:

I – Planejar, coordenar, supervisionar, executar e controlar a execução das atividades de Tecnologia da Informação e Comunicação (TIC) em conformidade com as diretrizes desta POSIC;

II – Elaborar, implementar e atualizar normas internas específicas em conformidade com esta POSIC e demais diretrizes do Governo;

III – Coordenar a manutenção de registros e procedimentos como trilhas de auditoria e outros que assegurem o rastreamento, o acompanhamento, o controle e a verificação de acesso a todas as redes computacionais da SEF;

IV – Coordenar as atividades de tratamento e resposta a incidentes de segurança no que diz respeito às redes computacionais da SEF;

V – Coordenar a promoção da recuperação da comunicação relacionada ao tratamento e resposta a incidentes em redes computacionais da SEF;

VI – Agir proativamente com o objetivo de evitar que ocorram incidentes de segurança, divulgando práticas e recomendações de SIC e avaliando condições de segurança das redes computacionais da SEF por meio de verificações de conformidade;

VII – Coordenar ações reativas que incluem recebimento de notificações de incidentes, orientação de equipes no reparo a danos e análise das redes computacionais comprometidas da SEF, buscando causas, danos e responsáveis;

VIII – Coordenar o recebimento, a análise e a resposta às notificações e atividades relacionadas a incidentes de segurança em redes de computadores da SEF;

IX – Coordenar as ações necessárias para tratar incidentes relativos a falhas de segurança nas redes computacionais da SEF;

X – Elaborar o levantamento e o tratamento de informações quantitativas acerca dos incidentes ocorridos que descrevam sua natureza, causas, data de ocorrência, frequência e custos resultantes; e

XI – Cooperar com outros órgãos responsáveis pelo tratamento e pela resposta a incidentes em redes computacionais.

Art. 46. Compete à Gerência de Sistemas e Informações Tributárias:

I – Planejar, coordenar, supervisionar, executar e controlar a execução das atividades de TIC concernentes aos sistemas de administração tributária em conformidade com as diretrizes desta POSIC;

II – Elaborar, implementar e atualizar normas internas específicas em conformidade com esta POSIC e demais diretrizes do Governo;

III – Coordenar a manutenção de registros e procedimentos relacionados à autenticação e autorização de usuários, assim como como trilhas de auditoria e outros que assegurem o rastreamento, o acompanhamento, o controle e a verificação de acesso aos sistemas de administração tributária;

IV – Coordenar as atividades de tratamento e resposta a incidentes de segurança no que diz respeito aos sistemas de administração tributária;

V – Coordenar a promoção da recuperação dos serviços em relação ao tratamento e resposta a incidentes relativos aos sistemas de administração tributária;

VI – Agir proativamente com o objetivo de evitar que ocorram incidentes de segurança, divulgando práticas e recomendações de SIC e avaliando condições de segurança dos sistemas de administração tributária por meio de verificações de conformidade;

VII – Coordenar ações reativas que incluem recebimento de notificações de incidentes relativos aos sistemas de administração tributária, orientação de equipes no reparo a danos e análise dos serviços comprometidos, buscando causas, danos e responsáveis;

VIII – Coordenar o recebimento, a análise e a resposta às notificações e atividades relacionadas a incidentes de segurança nos sistemas de administração tributária;

IX – Coordenar ações que visem garantir que o intercâmbio de informação sigilosa, no âmbito da Administração Pública, seja realizado mediante processo regularmente instaurado, no órgão ou na entidade solicitante, com o objetivo de investigar o sujeito passivo a que se refere a informação por prática de infração administrativa.

X – Coordenar ações que visem coibir a divulgação de informações, primárias ou derivadas de informações custodiadas pela SEF, sobre a situação econômica ou financeira de contribuintes ou de terceiros e sobre a natureza e o estado de seus negócios ou atividades.   

XI – Coordenar as ações necessárias para tratar incidentes relativos a falhas de segurança nos sistemas de administração tributária; e

XII – Elaborar o levantamento e o tratamento de informações quantitativas acerca dos incidentes ocorridos relacionados aos sistemas de administração tributária, descrevendo sua natureza, causas, data de ocorrência, frequência e custos resultantes.

Parágrafo único. A entrega das informações sigilosas, de que trata o inciso IX deste artigo, será feita pessoalmente à autoridade solicitante, mediante recibo que formalize a transferência e assegure a preservação do sigilo.