RESOLUÇÃO NORMATIVA Nº 03/2021-CGRC, de 08 de junho de 2021.

                                                  Aprova normas gerais referentes à Política de Gestão de Ativos de Tecnologia da Informação na Universidade Federal do Rio Grande do Norte.

O VICE-PRESIDENTE DO COMITÊ DE GOVERNANÇA, RISCOS E CONTROLE DA UNIVERSIDADE FEDERAL DO RIO GRANDE DO NORTE, usando das competências previstas no artigo 23, §2º, incisos II, VII e XII, da Instrução Normativa Conjunta MP/CGU nº 01/2016, que dispõe sobre controles internos, gestão de riscos e governança no âmbito do Poder Executivo federal,

CONSIDERANDO o Decreto no 9.637, de 26 de dezembro de 2018, que institui a Política Nacional de Segurança da Informação e dispõe sobre a governança da segurança da informação;

CONSIDERANDO a Norma Complementar nº 10/IN01/DSIC/GSIPR que estabelece as Diretrizes para o processo de Inventário e Mapeamento de Ativos de Informação nos aspectos relativos à Segurança da Informação e Comunicações (SIC), nos órgãos e entidades da Administração Pública Federal (APF), direta e indireta;

CONSIDERANDO a Resolução no 070/2017-CONSAD, de 07 de dezembro de 2017 que institui a Política de Segurança da Informação e Comunicação - POSIC, da Universidade Federal do Rio Grande do Norte - UFRN;

CONSIDERANDO o inciso XIV do art. 10, da Resolução 016/2017 o qual assinala que compete ao Comitê de Governança, Riscos e Controles aprovar propostas de políticas e diretrizes elaboradas pelo Comitê Gestor de Tecnologia da Informação (CGTI) e pelo Comitê Permanente de Segurança da Informação (CPSI); e

CONSIDERANDO a necessidade de disciplinar, institucionalizar e formalizar os processos de governança executados pelas equipes de TI da Universidade;

RESOLVE:

Art. 1º Aprovar normas gerais referentes à Política de Gestão de Ativos de Tecnologia da Informação na Universidade Federal do Rio Grande do Norte.

CAPÍTULO I

DAS DISPOSIÇÕES PRELIMINARES

Seção I

Da finalidade

Art. 2º Esta política tem por finalidade estabelecer os objetivos, as diretrizes, e as competências para a implementação do processo de gestão de ativos da Universidade Federal do Rio Grande do Norte.

Parágrafo único. A gestão de ativos deve se dar por meio do controle efetivo de seus ciclos de vida, da avaliação dos riscos e oportunidades, do atendimento aos requisitos regulatórios e da apresentação de soluções inovadoras e sustentáveis que contribuam para a realização dos resultados almejados e do planejamento institucional.

 Art. 3º Constituem objetivos da gestão de ativos:

I - aumentar o nível de maturidade da Instituição com a gestão de seus ativos;

II - aprimorar os processos de compras, reuso e recolhimento;

III - controlar e otimizar os custos com TI;

IV - garantir a disponibilidade e desempenho adequado dos ativos de modo a suportar adequadamente as atividades de ensino, pesquisa e extensão;

V - reduzir os riscos relacionados à segurança da informação; e

VI - garantir conformidade com a legislação vigente.

Seção II

Das definições

Art. 4º Para os efeitos desta Resolução, consideram-se:

I - ativo: qualquer bem, tangível ou intangível, que tenha valor para a Instituição;

II - ativo de TI: qualquer ativo que possa contribuir para a entrega de um produto ou serviço de TI. Tipicamente são classificados em ativos de software, físicos ou informação, mas podem incluir outras categorias como as relacionadas a computação em nuvem e redes.

III - ativos de informação: base de dados e arquivos, contratos e acordos, documentação de sistemas, informações sobre pesquisa, manuais de usuário, material de treinamento, procedimentos de suporte ou operação, planos de continuidade do negócio, procedimentos de recuperação, trilhas de auditoria e informações armazenadas;

IV - ativos de software: aplicativos, sistemas, ferramentas de desenvolvimento e utilitários;

V - ativos físicos: equipamentos computacionais, equipamentos de comunicação, mídias removíveis e outros equipamentos;

VI - ciclo de vida do ativo: conjunto de etapas que se inicia no planejamento e termina no recolhimento do ativo;

VII - confiabilidade: capacidade de um item desempenhar uma função requerida sob condições especificadas durante um intervalo de tempo;

VIII - acautelante: servidor público responsável pela guarda mediata, pelo controle e pela conservação dos bens permanentes de uso individual cuja responsabilidade estiver declarada no Termo de Acautelamento;

IX - detentor da carga patrimonial ou custodiante: membro ou servidor que, em razão do cargo ou função que ocupa ou por indicação de autoridade superior, responde pela guarda, pela conservação e pelo uso dos bens permanentes que a administração da UFRN lhe confiar mediante termo de responsabilidade;

X - titular da unidade patrimonial ou proprietário: servidor investido, ou não, em função de chefia, direção e assemelhados e tem responsabilidade pelo acervo patrimonial pertencente ao seu centro de custo ou colocado à disposição de sua unidade. Poderá delegar competências ao agente delegado e/ou acautelante, como responsáveis para atuarem sobre a carga patrimonial, designados através do Termo de Responsabilidade ou Termo de Acautelamento;

XI - bens de terceiro: material permanente ingressado na universidade por meio de contrato de cessão de uso/depósito, ou quando o órgão financiador é o detentor do bem. Desse modo, o bem advindo de contratos com entidades de fomento (CNPq, CAPES, Fundações de Apoio, etc.) e que o órgão financiador for o detentor da propriedade do bem por tempo determinado será considerado bem de terceiro;

XII - equipamentos de computação pessoal: computadores desktop ou notebooks utilizados para atividades acadêmicas ou administrativas.

XIII - equipamentos servidores: computadores cuja finalidade é executar tarefas específicas e que se caracterizam por não existir interação constante do usuário com o equipamento;

XIV - Item de Configuração (IC): qualquer componente que precise ser gerenciado de modo a entregar um serviço de TI. Um IC pode ter a granularidade/escopo que se julgar necessário, podendo, por exemplo, representar um serviço ou hardware como um todo, ou apenas uma de suas partes. ICs podem estar relacionados a hardware, software, redes, pessoas, prédios, fornecedores, documentação, entre outros;

XV - Atributos de Item de Configuração (AIC): conjunto de informações que caracterizam um IC. Para um IC representando um computador, seus AICs podem ser, por exemplo, tipo do processador, velocidade do processador, quantidade de memória, sistema operacional, entre outros;

XVI - Banco de Dados de Gerenciamento de Configuração (BDGC): base de dados que armazena as informações referentes aos ICs;

XVII - Sistema de Gerenciamento de Configuração (SGC): conjunto de ferramentas, dados e informações que são utilizados para suportar o gerenciamento de configuração dos serviços de TI;

XVIII - manutenção preventiva: intervenção de manutenção prevista, preparada e programada antes da data provável do aparecimento de uma falha; e

XIX - manutenção corretiva: manutenção efetuada depois da ocorrência de uma falha, destinada a recolocar um item em condições de executar uma função requerida;

Art. 5º A gestão de ativos na UFRN considera o ciclo de vida de um ativo como sendo composto pelas seguintes fases:

I - planejamento: fase de alinhamento das ações com a estratégia corporativa, envolvendo a revisão dos ativos que são atualmente usados em toda a organização e análise dos custos de compra e instalação de novos ativos de TI;

II - aquisição: fase de definição do padrão técnico, empresas fornecedoras, contratações e estabelecimento de acordos contratuais;

III - implantação: fase de configuração/instalação técnica e disponibilização conforme padrões estabelecidos;

IV - gerenciamento: fase de controle, apoio técnico, manutenção, atualização e monitoração; e

V - recolhimento: processo realizado quando um bem perde sua utilidade e torna-se antieconômico. Esta fase corresponde a transferência de um bem para uma outra categoria, tais como: material obsoleto, inservível ou excedente.

Seção III

Do Escopo

Art. 6º A Política de Gestão de Ativos de Tecnologia da Informação da UFRN tem o seguinte escopo:

I - inclui os ativos físicos de informação e de software;

II - envolve os ativos de TI adquiridos pela UFRN e os ativos de TI considerados bens de terceiros; e

I - abrange todas as pessoas que possuem algum vínculo com a UFRN, conforme Resolução 031/2020-CONSAD, de 8 de outubro de 2020, que institui a Política de Gestão de Identidades - PGID da UFRN.

Parágrafo único. A regulamentação referente a equipamentos pessoais dos usuários, que são utilizados na rede lógica da UFRN para fins acadêmicos ou administrativos, será definida em resolução específica.

Seção IV

Da fundamentação legal e normativa

Art. 7º As referências legais e normativas que fundamentam a Política de Gestão de Ativos da UFRN são apresentadas no Anexo I.

CAPÍTULO II

DAS DIRETRIZES GERAIS

Seção I

Das diretrizes para o tratamento de ativos

Art. 8º O Titular da Unidade Patrimonial, o Detentor da Carga Patrimonial e o Acautelante deverão gerir adequadamente os ativos sob sua responsabilidade.

§ 1º O Titular da Unidade Patrimonial, responsável pelos ativos da unidade, poderá delegar responsabilidades para o Detentor da Carga Patrimonial ou Acautelante.

§ 2º O coordenador designado para determinado laboratório será considerado Detentor da Carga Patrimonial.

§ 3º Quando um equipamento for alocado para uso individual, seu usuário, obrigatoriamente, deverá ser designado como Detentor da Carga Patrimonial ou Acautelante.

Art. 9º Os ativos deverão ser identificados, inventariados e acompanhados durante todo o seu ciclo de vida.

Art. 10. Regras para o uso aceitável das informações, dos ativos associados com a informação e dos recursos de processamento da informação devem ser definidas, documentadas e implementadas.

Art. 11. Atenção especial deve ser dada ao gerenciamento de ativos em ambiente de nuvem de modo a controlar o impacto financeiro de sua utilização, em especial, quando a bilhetagem é dinâmica de acordo com o consumo de recursos.

Art. 12. Os ativos devem ser monitorados, conforme procedimentos estabelecidos no art. 35.

Art. 13. Os equipamentos de computação pessoal deverão ser desligados ou postos em suspensão no final do expediente, salvo em casos especiais que justifiquem o contrário, devendo a chefia imediata ser informada para autorizar esse procedimento.

Art. 14. Os monitores dos computadores devem utilizar temporizador para entrarem em modo de economia de energia automaticamente após período de inatividade, que não superior a dez (10) minutos.

Art. 15. Devem ser definidos procedimentos para garantir que as pessoas em posse de ativos da instituição os devolvam tão logo deixem a instituição ou mudem de função.

Art. 16. Todas as máquinas que executem sistema operacional Windows deverão possuir antivírus instalado e ativado.

§ 1º Deve ser utilizado, preferencialmente, antivírus que trabalhe em rede e possua interface de gerenciamento centralizada para toda a instituição com possibilidade de delegação de funções para administradores de TI das unidades.

§ 2º O caput deste artigo não se aplica a ativos de projetos de pesquisa quando seu uso atrapalhar as atividades desenvolvidas, devendo, nesse caso, o Detentor da Carga Patrimonial ou Acautelante do ativo assumir a responsabilidade por eventuais consequências da não utilização do antivírus.

Art. 17. Todos os sistemas operacionais e demais softwares instalados devem ser mantidos atualizados, garantindo que as correções de segurança tenham sido aplicadas, sob pena de bloqueio em casos que comprometam a segurança da instituição.

Art. 18. Quando apropriado, os ativos serão agrupados nas seguintes categorias para simplificar a definição das regras desta política:

I - computadores de laboratórios;

II - computadores de servidores técnico-administrativos e docentes;

III - ativos de rede;

VI - câmeras de segurança IP;

V - telefones VoIP;

VI - equipamentos instalados nos data centers da instituição; e

VII - servidores de rede;

Art. 19. Quando a integridade ou confidencialidade dos dados armazenados em mídias removíveis forem consideradas importantes, devem ser aplicadas técnicas de criptografia para proteger os dados.

Art. 20. Para os equipamentos de computação pessoal deverão ser definidas senhas para acesso às opções de configuração do hardware e desativada a possibilidade de inicialização por meio de mídias removíveis ou pela rede.

Parágrafo único. A opção de boot pela rede poderá ser liberada quando a equipe de TI da unidade fizer uso de soluções que precisem dessa funcionalidade, ou os ativos em questão fizerem parte de atividades específicas de ensino e pesquisa que também precisam deste recurso.

Seção II

Dos ativos de informação

Art. 21. Deve ser garantido nível adequado de proteção às informações classificadas em grau de sigilo conforme definido na Resolução 59/2021-CONSAD, de 18 de março de 2021, que regulamenta os procedimentos de classificação, tratamento e acesso à informação no âmbito da Universidade Federal do Rio Grande do Norte.

Parágrafo único. Além das informações, os demais ativos da instituição devem ser classificados, considerando as informações que eles armazenam, transmitem e processam.

Art. 22. Normas complementares específicas para cada tipo de mídia onde as informações se encontram, física ou eletrônica, devem definir procedimentos para rotular os ativos quanto à classificação das informações que armazenam, transmitem e processam.

Art. 23. No que se refere aos equipamentos de computação pessoal, os arquivos dos usuários devem ser mantidos em servidores, preferencialmente, localizados nos Data Centers da instituição ou em algum serviço de armazenamento em nuvem disponibilizado pela instituição.

Parágrafo único. Serão permitidas cópias locais dos dados em notebooks para viabilizar o trabalho offline, cabendo aos usuários adotar as medidas necessárias para realizar as cópias de segurança desses ativos e proceder à sua recuperação em caso de perda.

Art. 24. Normas complementares estabelecerão procedimentos que visem garantir a integridade, a confidencialidade e a disponibilidade das informações, incluindo procedimentos para a criação, manutenção e verificação dos ativos de informação e de suas cópias de segurança.

Art. 25. É vedado o armazenamento e compartilhamento de informações em desacordo com as leis, políticas e normas vigentes, inclusive as relacionadas ao sigilo de informações, direitos de propriedade intelectual e industrial e informação pessoal relativa à intimidade, vida privada, honra e imagem.

Art. 26. O tratamento de dados pessoais deverá observar o disposto na Política de Proteção de Dados Pessoais das pessoas físicas.

Parágrafo único. Os dados tratados devem ser identificados e os eventos relacionados à transferência, compartilhamento, distribuição, comunicação e difusão com terceiros devem ser registrados.

Seção III

Dos ativos de software

Art. 27. A utilização de ativos de software em equipamentos da instituição deve ser previamente autorizada pelo Titular da Unidade Patrimonial, cabendo-o providenciar os procedimentos necessários à sua utilização.

Parágrafo único. É facultado ao Titular da Unidade Patrimonial a definição de regras que controlem a instalação de softwares nas máquinas.

Art. 28. É vedada a utilização e/ou instalação de software que possa de qualquer forma ferir direitos autorais, de propriedade intelectual ou quaisquer legislações vigentes.

Art. 29. É vedada a instalação de softwares adquiridos pela instituição em máquinas pessoais, a menos que a licença do software contemple essa situação.

Art. 30. Os serviços de rede no ambiente da UFRN também constituem ativos passíveis de inventário, documentação e auditoria.

Art. 31. A instalação de softwares adquiridos pela instituição em ativos considerados bens de terceiros será regulamentada em diretriz específica.

Seção IV

Dos ativos físicos

Art. 32. O ambiente físico onde os ativos se encontram deve ser adequado e ter o nível de segurança apropriado de acordo com o valor que aqueles possuem para a instituição.

Art. 33. Procedimentos específicos devem ser definidos para equipamentos que ficam sob a posse dos usuários, como dispositivos móveis (notebooks, celulares, etc.), garantindo que os usuários assumam determinadas responsabilidades por meio da assinatura de Termo de Acautelamento.

Parágrafo único. Devem ser implantados mecanismos para evitar que pessoas não autorizadas tenham acesso aos dados dos dispositivos em caso de perda ou roubo.

Art. 34. É vedada a instalação de equipamentos na rede da UFRN, como switches, roteadores, pontos de acesso sem fio (APs), ou quaisquer equipamentos que possam interferir no sinal da rede sem fio, sem a devida autorização da STI.

CAPÍTULO IV

DO MONITORAMENTO DOS ATIVOS

Art. 35. Os ativos devem ser monitorados de modo a garantir seu funcionamento adequado, identificar problemas, e fornecer subsídios para as demais práticas, como gerenciamento de capacidade e demanda.

§ 1º Nos equipamentos servidores e de computação pessoal, devem ser monitorados:

a) consumo de CPU, memória e disco;

b) sistema operacional (tipo e versão);

c) as atualizações de segurança;

d) as licenças de software instaladas; e

e) software antivírus (se utiliza e está atualizado).

§ 2º Para os equipamentos de computação pessoal, o monitoramento do consumo de CPU, memória, disco e atualizações de segurança poderá ser feito por amostragem, definindo-se grupos com perfil de usuários semelhantes e monitorando-se um percentual das máquinas de cada grupo.

§ 3º Para os links de comunicação de dados com o interior, devem ser monitorados pelo menos a taxa de utilização (bits transmitidos por segundos), taxa de erros, atrasos dos pacotes e período de disponibilidade.

§ 4º Para os ativos de rede devem ser monitorados a disponibilidade e o tráfego nas interfaces de uplink.

§ 5º Para situações consideradas críticas, deverão ser definidos limites acima dos quais alarmes e alertas de notificação devem ser gerados.

§ 6º Deverá ser monitorado o tempo em que os equipamentos de computação pessoal permanecem ligados, ainda que por amostragem, de modo a estimar o consumo de energia elétrica.

§ 7º Para ativos considerados críticos, o monitoramento deve incluir ações pró-ativas visando identificar situações e eventos que possam comprometer a segurança da informação.

Parágrafo único. É facultativo o monitoramento de bens de terceiros e ativos de TI utilizados em atividades de pesquisa, quando seu uso puder atrapalhar as atividades desenvolvidas.

CAPÍTULO V

DO INVENTÁRIO

Art. 36. O processo de Inventário e Mapeamento de Ativos de TI tem os seguintes objetivos:

I - fornecer visão clara de quais são os ativos de TI inseridos no ambiente da instituição;

II - identificar o Titular da Unidade Patrimonial, Detentor da Carga Patrimonial e Acautelante responsável por cada ativo;

III - identificar os requisitos básicos de segurança da informação de cada ativo;

IV - identificar o contêiner de cada ativo; e

V - identificar o valor que o ativo representa para a UFRN.

Art. 37. O processo de inventário definido nesta política visa complementar o processo de inventário definido no instrumento intitulado “Gestão Patrimonial de Bens Móveis na UFRN” com ações específicas para os ativos de TI, aprovado pela Resolução Deliberativa nº 05/2021-CGRC, de 01 de junho de 2021.

Art. 38. O processo de Inventário e Mapeamento de Ativos deve ser dinâmico, periódico e estruturado para manter a base de dados de ativos de informação atualizada.

Art. 39. Oprocesso de Inventário e Mapeamento de Ativos é composto pelos seguintes subprocessos:

I - identificação e classificação de ativos;

II - identificação de potenciais ameaças e vulnerabilidades; e

III - avaliação de riscos.

Seção I

Identificação e classificação dos ativos

Art. 40. O subprocesso de identificação e classificação de ativos caracteriza-se pelas seguintes etapas:

I - coleta de informações gerais e detalhamento dos ativos de informação;

II - identificação do Titular da Unidade Patrimonial, Detentor da Carga Patrimonial e Acautelante responsável por cada ativo;

III - caracterização dos contêineres dos ativos de informação;

IV - definição dos requisitos de segurança da informação; e

V - estabelecimento do valor do ativo para a UFRN.

Art. 41. O SIPAC é o sistema principal onde devem ser mantidas as informações de inventário dos ativos.

Art. 42. De modo a complementar as informações mantidas pelo SIPAC e identificar alterações nos ativos, deverá ser utilizado um software único de inventário para toda a instituição, de modo a permitir visão integrada das informações.

§ 1º A STI deverá definir o software a ser utilizado e ofertar treinamento para as equipes de TI.

§ 2º Todos os equipamentos servidores e de computação pessoal devem ter o software de inventário instalado.

§ 3º As informações coletadas pelo software de inventário podem ser armazenadas no SIPAC ou em um outro sistema a ser definido pela STI.

Parágrafo único. É facultativo a instalação do software de inventário em bens de terceiros e ativos de TI utilizados em atividades de pesquisa, quando seu uso puder atrapalhar as atividades desenvolvidas.

Art. 43. Sempre que pertinente devem ser mantidas informações da relação entre os ativos para identificar dependências entre eles.

Parágrafo único. Um tipo especial de relação é chamado de contêiner quando um equipamento está contido em outro, como por exemplo: um software instalado em determinado computador, um equipamento dentro de um rack ou o ambiente físico onde um ativo físico de TI está localizado.

Art. 44. O código de material no SIPAC para identificar os tipos de ativos de TI deve seguir um modelo hierárquico que permita agrupar os bens de acordo com categorias estabelecidas.

Art. 45. O inventário de ativos físicos de TIC deve conter pelo menos o código de material no SIPAC, número de tombamento, número de série, descrição, localização, estado, Titular da Unidade Patrimonial, e, quando pertinente, Detentor da Carga Patrimonial e Acautelante.

Art. 46. O inventário deve identificar as informações críticas que os ativos armazenam, processam ou transmitem, informando se são informações pessoais, sensíveis ou referentes à criança e ao adolescente.

Art. 47. A STI deverá definir requisitos gerais de segurança da informação para no mínimo as categorias de ativos citadas no art. 18.

Parágrafo único. Cabe ao Titular da Unidade Patrimonial decidir se utiliza os requisitos padrão definidos para a categoria do ativo ou definir requisitos específicos para ativos individuais ou grupos de ativos.

Art. 48. Os requisitos de segurança da informação citados no art. 47 devem ser classificados, no mínimo, nas seguintes categorias de controle:

I - tratamento da informação;

II - controles de acesso físico e lógico;

III - gestão de risco de segurança da informação;

IV - tratamento e respostas a incidentes em redes computacionais; e

V - gestão de continuidade dos negócios nos aspectos relacionados à segurança da informação.

Art. 49. A STI deverá definir o valor estratégico dos ativos para cada uma das categorias de ativos citadas no art. 18.

Parágrafo único. Cabe ao Titular da Unidade Patrimonial decidir se utiliza o valor padrão estimado pela categoria do ativo ou se define o valor estratégico específico para ativos individuais ou grupos de ativos.

Seção II

Da identificação de potenciais ameaças e vulnerabilidades

Art. 50. A STI deverá identificar potenciais ameaças e vulnerabilidades referentes à segurança da informação para, no mínimo, os tipos de ativos citados no art. 18.

Parágrafo único. Cabe ao Titular da Unidade Patrimonial decidir sobre a utilização da identificação citada no caput ou definir identificação específica para ativos individuais ou grupos de ativos.

Seção III

Da avaliação de riscos

Art. 51. Com base nas atividades identificadas, conforme art. 50, a STI deverá realizar avaliação de riscos que servirá de suporte ao processo de gestão de riscos em segurança da informação, seguindo a metodologia definida no Modelo de Gestão de Riscos da UFRN aprovada pela Resolução Deliberativa nº 05/2021-CGRC, de 01 de junho de 2021.

Parágrafo único. As demais unidades também devem realizar as atividades de gestão de riscos para os ativos sob sua responsabilidade.

CAPÍTULO VI

DO GERENCIAMENTO DE CONFIGURAÇÃO DE ATIVOS

Art. 52. Devem ser mantidas informações referentes às configurações dos ativos caracterizados como Itens de Configuração IC), devendo serem precisas, confiáveis e refletir a configuração real dos ativos.

Art. 53. São diretrizes específicas para o gerenciamento de configuração de ativos:

I - as configurações mantidas devem fornecer tanto a informação de como cada IC está configurado como dos relacionamentos entre eles;

II - deve-se considerar o custo benefício ao se definir o nível de detalhes dos ICs onde a informação guardada em cada IC deve ser baseada no seu valor para a instituição, no custo para coletá-la, mantê-la e em como essa informação será utilizada;

III - deve-se avaliar se a informação deve ser coletada apenas quando ela for necessária ou se deve ser coletada antecipadamente e armazenada no Banco de Dados de Gerenciamento de Configurações - BDGC;

IV - deve-se procurar manter informações que possam ser utilizadas na automação de processos;

V - caso sejam utilizados Banco de Dados de Gerenciamento de Configurações - BDGC ou Sistema de Gerenciamento de Configuração - SGC distribuídos em vários setores, ao invés de um único BDGC para toda a instituição, deve-se procurar manter alguma relação entre eles para que se tenha uma visão integrada de toda a instituição, aplicando-se o mesmo procedimento caso sejam utilizados diferentes BDGCs para armazenar informações separadas por área/tipo;

VI - o histórico de mudanças recentes nos ICs deve ser mantido, de modo a apoiar o processo de resolução de incidentes;

VII - recomenda-se que seja mantida alguma informação a respeito do estado do IC, como por exemplo, em compra, em uso, fora de uso, em reparo, aposentado;

VIII - a integração entre o gerenciamento de configuração e as demais práticas do gerenciamento de serviços de TI deve ser bem definida, visto que o gerenciamento de configuração funciona como suporte a muitas dessas práticas;

IX - em especial, as práticas de Gestão de Incidentes e de Problemas deverão ser utilizadas como fonte de detecção de inconsistências ou erros no BDGC e para verificar se o BDGC fornece as informações necessárias para apoiar o processo de identificação e resolução dos incidentes; e

X - as operações referentes aos ICs, durante todo o seu ciclo de vida, devem estar sob o controle da gestão de mudanças.

CAPÍTULO VII

DO CONTROLE DE ACESSO AOS ATIVOS

Art. 54. As diretrizes referentes ao controle de acesso aos ativos serão definidas em política específica.

CAPÍTULO VIII

DA AQUISIÇÃO DE ATIVOS

Seção I

Dos bens da UFRN

Art. 55. A aquisição de ativos de software deve considerar a demanda coletiva para proporcionar maior economicidade seja pelo fator de escala, seja por modelos de uso que viabilizem o compartilhamento de licenças.

Art. 56. Deverá ser realizado levantamento anual de necessidades de aquisição de soluções de TI.

Parágrafo único. Para o caso de aquisição de softwares, deverão ser informados, pelo menos:

I - se existe software livre equivalente;

II - diferenciais do software comercial em relação ao software livre;

III - se possui licença educacional;

IV - detalhamento do público atendido pelo software; e

V - tipo de licenciamento.

Art. 57. As aquisições de ativos de TIC devem observar o posicionamento adequado da tecnologia a ser adquirida, não podendo ser realizadas aquisições na fase de lançamento, em que há menor quantidade de fornecedores para seleção e grande custo de aquisição.

Art. 58. Na fase de Seleção são realizadas aquisições somente se a tecnologia presente no ativo de TIC for extremamente necessária para seu uso.

Art. 59. As aquisições que não tenham este cunho de excepcionalidade são realizadas na fase de Menor Custo onde há maior concorrência entre os fornecedores e ampla padronização da indústria, o que contribui para maior custo benefício na aquisição.

Art. 60. A estimativa de preço deverá ser feita com base no que determina a legislação vigente.

Art. 61. A aquisição de equipamentos deve considerar questões relacionadas à sustentabilidade ambiental.

Art. 62. Para a aquisição de equipamentos de computação pessoal devem ser definidas especificações técnicas para os equipamentos de modo a corresponder às demandas dos seguintes perfis de utilização:

I - perfil acadêmico/administrativo: utilizado para atividades administrativas e acadêmicas;

II - perfil desenvolvimento: utilizado para atividades acadêmicas de desenvolvimento de sistemas, atividades da Superintendência de Tecnologia da Informação e solicitações pontuais; e

III - perfil avançado: utilizado pela área acadêmica de engenharia e arquitetura para desenvolvimento de atividades que demandem alto nível de desempenho, como trabalho com softwares gráficos, processamento de áudio e processamento de sinal digital.

Parágrafo único. Com a finalidade de fazer cumprir a estratégia de perfis de desempenho para atendimento das demandas suficientes e necessárias para cada usuário, o controle de liberação de saldo de equipamentos para perfis de desenvolvimento e avançado deve ser realizado pela superintendência de Tecnologia da Informação por meio do sistema SIPAC.

Art. 63. A especificação técnica dos equipamentos citados no art. 62 deve considerar o monitoramento dos recursos computacionais citado no art. 35, utilizando o modelo de amostragem para os grupos de usuários aos quais cada perfil se destina.

§ 1º A análise do consumo de recursos deve considerar tanto a média quanto os períodos de pico.

§ 2º Visando permitir a utilização dos equipamentos por maior número de anos, as especificações técnicas devem ser definidas considerando que a demanda por consumo dos recursos computacionais tende a aumentar com novas versões dos softwares, devendo-se buscar boa relação de custo benefício considerando a previsão futura de consumo de recursos computacionais e o valor a ser gasto para suportá-la.

Art. 64. Tomando por base o resultado do monitoramento dos equipamentos de computação pessoal, anualmente, deverá ser feita estimativa da necessidade de atualização do parque com a expectativa de que esse valor seja próximo de 20% do número total de computadores.

Art. 65. Os ativos adquiridos para garantir a continuidade de negócios da instituição devem conter contratos de garantia e suporte.

Parágrafo Único. O disposto no caput se aplica, em especial, a determinados ativos de rede, aos ativos do ambiente de data center e aos relacionados à segurança da informação.

Art. 66. O procedimento de recebimento de ativos de TI adquiridos pela UFRN deve incluir a conferência das especificações técnicas e de garantia do item entregue, a ser realizada por profissional da área de TI, e sempre que possível realizar testes de funcionamento com base em amostragem.

§ 1º A amostra para testes deve conter, no mínimo, uma unidade de cada lote.

§ 2º Deverá ser verificada a garantia do item contratado, conforme previsto no edital, em nota fiscal e por meio de contato com o fabricante.

§ 3º Deverá ser mantido o registro do recebimento dos ativos de TI, incluindo os não recebidos por não conformidade com o edital.

Art. 67. As unidades devem definir procedimentos padronizados para preparar os equipamentos recebidos para uso.

§ 1º Os procedimentos podem ser definidos para os diferentes grupos ou tipos de usuários, e podem especificar, por exemplo, quais softwares devem ser instalados, quais mapeamentos de pastas de rede devem ser disponibilizados e quais configurações de segurança devem ser aplicadas.

§ 2º Para equipamentos de computação pessoal, os procedimentos devem conter, pelo menos:

I - aplicação imediata das atualizações de segurança e agendamento para execução periódica;

II - configuração para ingresso no domínio, quando aplicável;

III - instalação do antivírus, quando aplicável, de acordo com o art.18;

IV - instalação do software de inventário, quando aplicável, de acordo com o art. 44;

V - instalação do software de monitoramento, quando aplicável, de acordo com o art. 35; e

VI - desativação do boot por meio de mídias removíveis ou pela rede, e como configuração de senha para entrar nas opções de configuração do hardware, quando aplicável, de acordo com o art. 22.

Seção II

Do processo de contratação de soluções de TI

Art. 68. As contratações de soluções de TI no âmbito da UFRN deverão estar:

I - em consonância com o Plano Diretor de Tecnologia da Informação e Comunicação - PDTIC; e

II - previstas no Plano Anual de Contratações;

Art. 69. Nas contratações de soluções de TI, deve ser realizada a execução da fase de planejamento da contratação e elaboração dos artefatos necessários à verificação da viabilidade técnica e econômica da contratação, consistindo nas seguintes etapas:

I - instituição da Equipe de Planejamento da Contratação;

II - elaboração do Estudo Técnico Preliminar da Contratação;

III - elaboração do Mapa de Gerenciamento de Riscos; e

IV - elaboração do Termo de Referência ou Projeto Básico.

Parágrafo único. É obrigatória a execução de todas as etapas da fase de Planejamento da Contratação, independentemente do tipo de contratação, inclusive nos casos de:

I - inexigibilidade;

II - dispensa de licitação ou licitação dispensada;

III - formação de ata de registro de preços;

IV - adesão à ata de registro de preços;

V - contratações com uso de verbas de organismos nacionais ou internacionais; e

VI - contratação de empresas públicas de TIC.

Art. 70. Para contratações cuja estimativa de preços seja inferior ao valor da modalidade dispensa de licitação é facultativo a aplicação do artigo 69, mas faz-se necessário a observância quanto ao art. 68.

Art. 71. A fase de Planejamento da Contratação terá início com o recebimento pela Área de TIC do Documento de Oficialização da Demanda, elaborado pela área requisitante da solução, que conterá, no mínimo:

I - necessidade da contratação, considerando os objetivos estratégicos e as necessidades corporativas do órgão ou entidade, bem como o seu alinhamento ao Plano Diretor de Tecnologia da Informação e Comunicação - PDTIC e ao Plano Anual de Contratações;

II - explicitação da motivação e dos resultados a serem alcançados com a contratação da solução de TIC;

III - indicação da fonte dos recursos para a contratação; e

IV - indicação do Integrante requisitante para composição da equipe de planejamento da contratação.

CAPÍTULO IX

DA MANUTENÇÃO DOS ATIVOS

Art. 72. Qualquer alteração de hardware em equipamentos da instituição, seja por inserção, seja por remoção de componentes, deve ser autorizada pela chefia e formalmente registrada, de modo que possa ser auditada.

Parágrafo único. Podem ser definidos tipos de alterações nos equipamentos, que são consideradas pré-autorizadas pela chefia.

Art. 73. A remoção de peças de um equipamento para utilização em outro deverá respeitar os seguintes critérios.

I - não deve ser realizada a remoção de peças de equipamentos que ainda se encontrem em garantia; e

II - somente é permitida a retirada de peças de equipamentos classificados como irrecuperáveis.

Art. 74. Os chamados de acionamento da garantia deverão ser registrados de modo centralizado na UFRN.

Art. 75. Deverão ser realizadas manutenções preventivas anuais nos equipamentos visando conservar o estado funcional do equipamento e evitar o desgaste acelerado dos componentes.

Art. 76. Deverá ser feita avaliação periódica da vantajosidade em atualizar as configurações de hardware do equipamento para adequá-lo às necessidades de uso ou substituição de componentes com vida.

Art. 77. A manutenção em ativos considerados bens de terceiros será regulamentada em norma específica.

CAPÍTULO X

DA REUTILIZAÇÃO E RECOLHIMENTO

Art. 78. Sempre que um ativo não atender mais às necessidades do usuário atual, deve ser verificada a possibilidade de sua utilização por outras pessoas do setor ou de outras unidades da UFRN.

§ 1º Os bens inservíveis classificados como ociosos ou recuperáveis deverão ser anunciados no REUSE.UFRN antes do recolhimento.

§ 2º Uma das possibilidade de reutilização a ser considerada para o equipamento na instituição é utilizá-lo como terminal leve.

Art. 79. Cuidados especiais devem ser tomados quando um ativo for transferido para outro responsável ou recolhido, tanto referente a licenças de software quanto a segurança da informação, como por exemplo, realizar a exclusão de informações que não devam ser acessadas pelo novo proprietário, de modo que não possam ser recuperadas.

Art. 80. Os equipamentos de TI somente serão recolhidos após expedição de parecer técnico expedido pela equipe técnica de TI da unidade responsável, ou alguma unidade hierarquicamente superior.

§ 1^o Em casos excepcionais, em que não haja equipe técnica responsável dentro da linha hierárquica, a STI será responsável pelo parecer.

§ 2^o Caso tenham sido retirados componentes do ativo a ser recolhido o laudo a ser apresentado pela equipe de TI deve incluir a lista desses componentes, contendo o número de tombamento dos equipamentos onde foram instalados.

CAPÍTULO XI

DAS RESPONSABILIDADES

Art. 81. O Acautelante é responsável:

I - pela guarda mediata, pelo controle e pela conservação dos bens permanentes de uso individual cuja responsabilidade esteja declarada no Termo de Acautelamento; e

II - pela aplicação dos níveis de controles de segurança em conformidade com as exigências de segurança da informação comunicadas pelo Titular da Guarda Patrimonial dos ativos de informação.

Parágrafo único. O termo de acautelamento não pode incluir as responsabilidades citadas nos incisos I a X do art. 83.

Art. 82. O Detentor da Carga Patrimonial ou Custodiante é responsável:

I - pela guarda, conservação e uso dos bens, incluindo o armazenamento, transporte e processamento;

II - pela aplicação dos níveis de controles de segurança em conformidade com as exigências de segurança da informação comunicadas pelo Titular da Guarda Patrimonial dos ativos de informação.

Art. 83. O Titular da Unidade Patrimonial ou Proprietário é responsável pela viabilidade e sobrevivência dos ativos, assumindo, no mínimo, as seguintes atividades:

I - descrever o ativo de informação;

II - definir as exigências de segurança da informação do ativo de informação;

III - comunicar às exigências de segurança da informação do ativo a todos os detentores da carga patrimonial e usuários;

IV - buscar assegurar-se de que as exigências de segurança da informação estejam cumpridas por meio de monitoramento;

V - indicar os riscos que podem afetar os ativos de informação;

VI - garantir a integridade física dos equipamentos que estão fisicamente em sua unidade, mesmo que não façam parte do seu acervo patrimonial;

VII - classificar os ativos, considerando as informações que eles armazenam, transmitem e processam;

VIII - assegurar que os ativos sejam monitorados;

IX - assegurar adequado tratamento quando o ativo é excluído ou destruído; e

X - garantir que o processo de gerenciamento de configuração seja executado para os ativos de TIC gerenciados pela sua unidade.

Art. 84. São responsabilidades da Diretoria de Logística:

I - assegurar que os ativos são inventariados; e

II - garantir que sejam definidos responsáveis para os ativos.

Art. 85. São responsabilidade da STI:

 
 I - definir e implantar os sistemas de informação citados nesta política que serão de uso institucional;

 II - autorizar a instalação de ativos de rede na rede da UFRN;

 III - definir requisitos gerais de segurança da informação conforme o art. 47;

IV - definir valor estratégico dos ativos para cada uma das categorias conforme o art. 49;

V - identificar as potenciais ameaças e vulnerabilidades referentes à segurança da informação conforme o art. 50;

VI - realizar a avaliação de riscos conforme o art. 51;

VII - emitir parecer técnico sobre o recolhimento de bens nos casos excepcionais citados no art. 80; e

VIII - emitir parecer técnico acerca da viabilidade técnica das aquisições de soluções de tecnologia da informação;

CAPÍTULO XII

VIOLAÇÕES, PENALIDADES E SANÇÕES

Art. 86. A desobediência ou violação às regras da Política de Gestão de Ativos da UFRN implicará em sanções administrativas nos termos da lei e normas complementares, sem prejuízo de outras previstas nas esferas cível e penal.

CAPÍTULO XIII

DISPOSIÇÕES FINAIS

Art. 87. O prazo para definição e implantação dos sistemas de informação citados nesta política, que serão de uso institucional, é de dois anos a partir da entrada em vigor desta Resolução.

Art. 88. Casos excepcionais que impossibilitem o cumprimento de diretrizes dessa política devem ser submetidos para avaliação pela STI.

 Art. 89. Esta Resolução entra em vigor em 01 de julho de 2021.

JOSÉ DANIEL DINIZ MELO

Presidente

ANEXO I

FUNDAMENTAÇÕES LEGAIS CONSIDERADAS NA ELABORAÇÃO DESTA POLÍTICA

       1.            Decreto nº 10.332, de 28 de abril de 2020, institui a Estratégia de Governo Digital para o período de 2020 a 2022, no âmbito dos órgãos e das entidades da administração pública federal direta, autárquica e fundacional e dá outras providências;

2. Portaria do Governo Digital - LEI Nº 14.129, DE 29 DE MARÇO DE 2021. Dispõe sobre princípios, regras e instrumentos para o Governo Digital e para o aumento da eficiência pública;

3. Resolução nº 39/2017 Política de Governança de Tecnologia da Informação e Comunicação da Universidade Federal do Rio Grande do Norte (PGTIC/UFRN);

4. Resolução nº 017/2019-CONSUNI, de 19 de junho de 2019, aprova Regimento Interno da Reitoria da UFRN, no qual especifica as atribuições e competências da Superintendência de Tecnologia da Informação;

5. Plano Diretor de Tecnologia da Informação (PDTI) 2019-2022 da Universidade Federal do Rio Grande do Norte (UFRN);

6. Resolução nº 056/2011-CONSAD, de 15 de dezembro de 2011, que normatiza a criação do Comitê Gestor de Tecnologia da Informação - CGTI da Universidade Federal do Rio Grande do Norte UFRN, atualizada pela Resolução nº 053/2016-CONSAD, de 29 de setembro de 2016;

7. Portaria nº 623/ 020 - R, de 12 de maio de 2020, que institui o Comitê Gestor de Segurança da Informação da UFRN.

8. Resolução 016/2017, de 04 de maio de 2017, que cria a Política de Gestão de Riscos da Universidade Federal do Rio Grande do Norte - UFRN e o Comitê de Governança, Riscos e Controles da Universidade Federal do Rio Grande do Norte;

9. Resolução n^o 031/2020-CONSAD, de 08 de outubro de 2020, que institui a Política de Gestão de Identidades da UFRN;

10. Resolução n^o 059/2021-CONSAD, de 18 de março de 2021, que regulamenta os procedimentos de classificação, tratamento e acesso à informação no âmbito da Universidade Federal do Rio Grande do Norte.

11. Norma ABNT NBR ISO 27001:2014 - Gestão de Ativos - Sistema de Gestão - Requisitos;

12. Norma ABNT NBR ISO 27002:2014 - Gestão de Ativos - Sistema de Gestão - Diretrizes para aplicação da ABNT NBR ISO 27001;

13. Norma ABNT NBR ISO 55001:2014 - Gestão de Ativos - Sistema de Gestão - Requisitos;

14. Norma ABNT NBR ISO 55002:2014 - Gestão de Ativos - Sistema de Gestão - Diretrizes para aplicação da ABNT NBR ISO 55001.;

15. Norma Complementar no 10/IN01/DSIC/GSIPR, que estabelece diretrizes para o processo de Inventário e Mapeamento de Ativos de Informação, para apoiar a Segurança da Informação e Comunicação (SIC), dos órgãos e entidades da Administração Pública Federal, direta e indireta – APF. Publicada no DOU N^o 30, de 10 Fev 2012 - Seção 1;

16. ABNT NBR ISO/IEC 27002 – Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão de segurança da informação. ABNT, 2013;

17. Portaria MP/STI nº 20, de 14 de junho de 2016 - dispõe sobre boas práticas, orientações e vedações para contratação de ativos de TIC; e

18. Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (LGPD).