POLÍTICA DE PROTEÇÃO DO CONHECIMENTO
REGULAMENTO
PORTARIA BACEN Nº 65.217, de 20.05.2011
(DOU de 23.05.2011)
O DIRETOR DE ADMINISTRAÇÃO DO BANCO CENTRAL DO BRASIL, no uso das atribuições previstas no art. 12, inciso XXVII, combinado com o art. 13, incisos II e XIII, do Regimento Interno, anexo à Portaria Nº 29.971, de 4 de março de 2005, com fundamento no art. 67 do Decreto Nº 4.553, de 27 de dezembro de 2002, e tendo em vista o contido no Voto BCB 241/2006, aprovado pela Diretoria Colegiada em sessão de 16 de agosto de 2006, Resolve:
Art. 1º - Fica divulgado o Regulamento da Política de Proteção do Conhecimento do Banco Central do Brasil, anexo a esta portaria.
Art. 2º - Fica o Diretor de Administração, na condição de presidente do Comitê de Segurança (Coseg), autorizado a editar os atos complementares julgados necessários para o cumprimento do Regulamento de que trata o art. 1º
Art. 3º - Esta portaria entra em vigor na data de sua publicação no Diário Oficial da União.
Altamir Lopes
ANEXO
REGULAMENTO DA POLÍTICA DE PROTEÇÃO DO CONHECIMENTO DO BANCO CENTRAL DO BRASIL
CAPÍTULO I
DAS FINALIDADES
Seção I
Do Objetivo
Art. 1º - Este Regulamento dispõe sobre a Política de Proteção do Conhecimento no Banco Central do Brasil (PPCBC) e estabelece diretrizes, responsabilidades e ações para a sua gestão.
Art. 2º - A Política mencionada no art. 1º visa a evitar que os riscos aos quais estão sujeitos os ativos de informação comprometam as atividades do Banco Central do Brasil (BCB) e o cumprimento de sua missão institucional.
Seção II
Do Escopo
Art. 3º - A PPCBC tem os seguintes propósitos:
I - atender às exigências legais e normativas para a Administração Pública Federal;
II - orientar as ações necessárias à garantia da proteção do conhecimento;
III - definir competências e atribuições decorrentes;
IV - servir de referência para efeitos de auditoria e corregedoria.
Art. 4º - A PPCBC abrange:
I - as áreas de negócio do BCB em todas as praças;
II - os conhecimentos tácitos e os explícitos;
III - os meios físicos e os digitais;
IV - os projetos e as atividades exercidos dentro ou fora das instalações do BCB;
V - os ocupantes de cargos e funções públicas, os terceirizados, os estagiários, os menores aprendizes, os prestadores de serviço e os visitantes;
VI - os meios de comunicação.
Seção III
Das Definições
Art. 5º - Os seguintes conceitos e definições aplicam-se à PPCBC:
I - ativo de informação: patrimônio composto por dados, informações ou conhecimentos produzidos ou manipulados no desenvolvimento das atividades da instituição;
II - ativo de informação corporativo: ativo de informação que não seja de domínio público, considerado propriedade da instituição;
III - autenticidade: comprovação de que o dado ou informação são verdadeiros e fidedignos tanto na origem quanto no destino;
IV - classificação: atribuição, pela autoridade competente, de grau de sigilo a dado, informação, documento, material, área ou instalação;
V - compartimentação: restrição do acesso ao conhecimento sensível apenas àquelas pessoas que tenham necessidade de conhece-lo para o pleno exercício de sua função;
VI - confidencialidade: garantia de que o dado ou a informação serão acessados apenas por aquele que possui credencial de segurança;
VII - controle de acesso: prática de permitir o acesso a informações ou ambientes físicos apenas para pessoas autorizadas;
VIII - credencial de segurança: certificado, concedido por autoridade competente, que habilita determinada pessoa a ter acesso a dados ou informações em diferentes graus de sigilo;
IX - criptografia: conjunto de técnicas pelas quais a informação pode ser transformada da sua forma original para outra ilegível, de forma que possa ser conhecida apenas por seu destinatário, tornando impraticável a leitura por alguém não autorizado;
X - custodiante: aquele que possui a guarda ou custódia de um ativo de informação de terceiros. A custódia não implica, de forma automática, o direito de acesso ao ativo, nem o direito de conceder acesso a outros;
XI - disponibilidade: facilidade de recuperação ou acessibilidade de dados e informações;
XII - integridade: incolumidade de dados ou informações na origem, no trânsito ou no destino;
XIII - necessidade de conhecer: condição pessoal, inerente ao efetivo exercício de cargo, função, emprego ou atividade, indispensável para que uma pessoa possuidora de credencial de segurança tenha acesso a dados ou a informações sigilosos;
XIV - ostensivo: sem classificação, cujo acesso pode ser franqueado;
XV - sensível: condição do ativo de informação que necessita de proteção contra revelação não autorizada;
XVI - usuários: todos os ocupantes de cargos e funções públicas, servidores, terceirizados, estagiários, menores aprendizes, prestadores de serviço e visitantes que de alguma forma possam ter acesso a ativos de informação do BCB.
Seção IV
Das Referências Legais e Normativas
Art. 6º - Os conceitos e as ações desenvolvidas no âmbito da PPCBC serão regidos pelas seguintes normas:
I - Decreto Nº 4.553, de 27 de dezembro de 2002, que dispõe sobre a salvaguarda de dados, informações, documentos e materiais sigilosos de interesse da segurança da sociedade e do Estado, no âmbito da Administração Pública Federal, e dá outras providências;
II - Instrução Normativa GSI Nº 1, de 13 de junho de 2008, que disciplina a Gestão da Segurança da Informação e Comunicações, e dá outras providências;
III - Norma Complementar Nº 03/IN01/DSIC/GSIPR, que indica diretrizes para elaboração de política de segurança da informação e comunicações nos órgãos e entidades da administração pública federal;
IV - NBR ISO/IEC 27001 e NBR ISO/IEC 27002, que instituem o código de melhores práticas para gestão de segurança da informação;
V - Código de Conduta dos Servidores do Banco Central do Brasil;
VI - Lei Nº 8.112, de 11 de dezembro de 1990, que dispõe sobre o regime jurídico dos servidores civis da União, das autarquias e das fundações públicas federais.
Seção V
Dos Princípios
Art. 7º - São Princípios da Proteção do Conhecimento: disponibilidade, integridade, confidencialidade, autenticidade e necessidade de conhecer.
CAPÍTULO II
DAS DIRETRIZES
Seção I
Das Diretrizes Gerais
Art. 8º - Para os efeitos da PPCBC, o ciclo de vida do conhecimento é composto pelas fases de planejamento ou pré-produção, produção, armazenamento, transporte, divulgação e descarte.
Art. 9º - A proteção do conhecimento é implantada pela adoção das seguintes medidas principais: classificação, compartimentação, controle de acesso, criptografia e credencial de segurança.
Art. 10 - A gestão da proteção do conhecimento tem por objetivo orientar os processos de levantamento, avaliação e tratamento das vulnerabilidades e das ameaças capazes de deixar os ativos de informação em situação de risco considerada inaceitável pela organização.
Art. 11 - Os custodiantes de ativos de informação são responsáveis pela segurança desses ativos e devem solicitar as medidas de segurança necessárias para a conformidade com as exigências da PPCBC.
Seção II
Da Gestão de Riscos Relacionados ao Conhecimento
Art. 12 - A gestão de riscos relacionados ao conhecimento é o processo contínuo orientado por medidas e procedimentos que subsidiam o planejamento da gestão da proteção do conhecimento.
Art. 13 - O gerenciamento de riscos será desenvolvido observando os segmentos de pessoas, áreas, instalações físicas, documentação, materiais, segurança de tecnologia da informação e comunicações.
Seção III
Da Classificação dos Ativos de Informação
Art. 14 - Todos os ativos de informação produzidos ou em produção no âmbito do BCB são considerados originariamente corporativos.
Art. 15 - Os ativos de informação corporativos serão protegidos contra acesso não autorizado durante todas as fases do ciclo de vida do conhecimento.
Art. 16 - Antes de ser tornado ostensivo, o conteúdo do ativo de informação corporativo será avaliado quanto à sensibilidade.
Parágrafo único - Caso seja considerado sensível, o conteúdo do ativo a que se refere o caput será classificado como reservado, confidencial, secreto ou ultrassecreto.
Art. 17 - A classificação do ativo de informação sensível determinará as medidas e os procedimentos de proteção que serão adotados para cada nível de classificação.
Art. 18 - São competentes para classificar, reclassificar e desclassificar os conhecimentos no BCB:
I - no grau de ultrassecreto: o Presidente;
II - no grau de secreto: o Presidente, Diretores, Chefes de Gabinete de Diretor, Procurador-Geral, Secretário-Executivo, Secretário, Chefes de Unidade, Procurador-Geral Adjunto, Chefes Adjuntos de Unidade, Subprocuradores-Gerais, Consultores, Gerentes Administrativos e Gerentes-Executivos;
III - nos graus de confidencial e reservado: as autoridades mencionadas no inciso II, Chefes de Subunidade, Coordenadores, Assessores Seniores e Assessores Plenos.
Seção IV
Do Segmento de Pessoas
Art. 19 - Os usuários receberão capacitação, reciclagem e orientação sobre as medidas e os procedimentos de proteção antes de ser dado acesso aos ativos de informação.
Parágrafo único - A credencial de segurança é pré-requisito para as pessoas referidas no caput acessarem ativos de informação classificados.
Art. 20 - Os ajustes do BCB com pessoas físicas ou entidades privadas conterão cláusulas referentes ao cumprimento da PPCBC e à observância pelos seus empregados, prepostos ou representantes dos procedimentos de segurança para tratamento do conhecimento.
Art. 21 - Serão observadas medidas e procedimentos de segurança em todo o processo de admissão, alocação, transferência, remanejamento, promoção, substituição, afastamento, sucessão e desligamento de servidores, terceirizados, prestadores de serviço, menores aprendizes e estagiários.
Seção V
Do Segmento de Áreas e Instalações
Art. 22 - Os ativos de informação classificados serão protegidos por um perímetro de segurança definido, com barreiras de segurança e controle de acesso adequado ao nível de classificação.
Art. 23 - As áreas e as instalações serão classificadas consoante o maior nível de classificação dos ativos de informação nelas armazenados, cumprindo medidas e procedimentos de segurança específicos.
Art. 24 - Os indivíduos que necessitarem ingressar nas instalações para obras e serviços dependerão de autorização prévia e receberão acompanhamento, inclusive fora dos horários de expediente.
Art. 25 - Áreas consideradas críticas, como centrais telefônicas, arquivos, protocolos, malotes, centrais de segurança, centrais de processamento de dados, salas de contingência, de nobreaks e de grupos geradores, deverão possuir critérios especiais de segurança.
Art. 26 - A entrada e a saída de documentos, objetos e materiais nas áreas e nas instalações do BCB obedecerão a medidas e procedimentos de segurança que auxiliem na mitigação dos riscos à proteção do conhecimento.
Art. 27 - As áreas de acesso público serão, preferencialmente, isoladas fisicamente das áreas de trabalho, ou deverão possuir medidas de segurança complementares de acesso.
Seção VI
Do Segmento de Tecnologia da Informação e Comunicações
Art. 28 - O segmento de tecnologia da informação e comunicações compreende todos os ativos de informação da instituição que trafegam ou estão armazenados em sistemas de informações, bem como a infraestrutura tecnológica que suporta esses sistemas.
Art. 29 - Conceitos, regras, medidas e procedimentos pertinentes ao segmento de Tecnologia da Informação serão previstos nas Diretrizes de Segurança de Tecnologia da Informação e no Regulamento de Segurança da Tecnologia da Informação, expedidos pelo Departamento de Tecnologia da Informação (Deinf).
Art. 30 - Os ativos de informação que trafeguem por meios de telecomunicação fixa ou móvel serão protegidos por medidas e procedimentos de segurança adequados ao nível de classificação desses ativos.
Seção VII
Do Segmento de Documentação e Materiais
Art. 31 - Os documentos classificados observarão medidas e procedimentos de segurança referentes a expedição, comunicação, registro, recebimento, tramitação, guarda, reprodução, avaliação, preservação e eliminação.
Art. 32 - Todos os documentos organizacionais em papel destinados ao descarte, mesmo sob a forma de minutas ou rascunhos, serão fragmentados no próprio local de trabalho.
Art. 33 - Discos rígidos, mídias e outros materiais classificados destinados ao descarte serão completamente destruídos, não sendo permitida a alienação, venda ou doação.
Seção VIII
Da Gestão de Continuidade de Negócios
Art. 34 - A Gestão de Continuidade de Negócios (GCN) tem por objetivo manter em funcionamento os serviços e os processos críticos do BCB na eventualidade de ocorrências que possam comprometê-los, observando as informações críticas neles envolvidos.
Art. 35 - A GCN garantirá que sejam atendidos os princípios da proteção do conhecimento aos ativos de informação organizacionais.
CAPÍTULO III
DAS COMPETÊNCIAS E ATRIBUIÇÕES
Art. 36 - Compete ao Comitê de Segurança (Coseg) deliberar sobre normas, manuais e outros regulamentos, bem como documentos de divulgação que estabeleçam procedimentos de proteção do conhecimento.
Art. 37 - Compete ao Departamento de Segurança (Deseg):
I - assessorar na implantação das ações relacionadas com a PPCBC;
II - planejar as ações necessárias para assegurar a proteção física de áreas e instalações, visando ao cumprimento da PPCBC;
III - propor:
a) as alterações à PPCBC e a normatização de critérios, medidas e procedimentos nela indicados;
b) o desenvolvimento de campanhas de conscientização, ampliando a cultura organizacional de proteção do conhecimento;
IV - manter contato direto com órgãos de segurança do Poder Executivo para o trato de assuntos relativos à proteção do conhecimento.
Art. 38 - Compete ao Deinf:
I - implantar as ações necessárias para assegurar a proteção e a recuperação dos conhecimentos sensíveis disponíveis em meios digitais;
II - propor alterações nas Diretrizes de Segurança de Tecnologia da Informação e no Regulamento de Segurança da Tecnologia da Informação, visando à conformidade com a PPCBC;
III - assessorar na implantação das ações relacionadas com a PPCBC.
Art. 39 - Compete ao Departamento de Recursos Materiais e Patrimônio (Demap):
I - prover os equipamentos e a infraestrutura necessários à devida aplicação da PPCBC;
II - implantar as ações necessárias para assegurar a proteção e a recuperação dos conhecimentos disponíveis no sistema de arquivamento e transporte de documentos;
III - fazer constar dos contratos as cláusulas necessárias ao cumprimento da PPCBC;
IV - assessorar na implantação das ações relacionadas com a PPCBC.
Art. 40 - Compete ao Departamento de Gestão de Pessoas (Depes):
I - observar as medidas e os procedimentos de segurança nos processos de admissão, alocação, transferência, remanejamento, promoção, substituição, afastamento, sucessão e desligamento de servidores, terceirizados, prestadores de serviço, menores aprendizes e estagiários;
II - assessorar na implantação das ações relacionadas com a PPCBC.
Art. 41 - Compete à Universidade Banco Central (UniBacen) implantar as ações que viabilizem capacitação, reciclagem e treinamento necessários ao cumprimento da PPCBC.
Art. 42 - Compete à Gerência-Executiva de Comunicação (Secre/Comun) desenvolver campanhas de conscientização para a ampliação da cultura de proteção do conhecimento.
Art. 43 - Compete à Auditoria Interna do Banco Central do Brasil (Audit) auditar todas as áreas do BCB quanto ao cumprimento da PPCBC e das normas relacionadas a ela.
Art. 44 - Compete à Corregedoria-Geral do Banco Central do Brasil (Coger), no âmbito de suas atribuições, aplicar as ações corretivas e disciplinares cabíveis nos casos de descumprimento das disposições da PPCBC e das normas relacionadas a ela.
Art. 45 - São atribuições do Procurador-Geral, do Secretário- Executivo, do Secretário, dos Chefes de Unidade, dos Gerentes Administrativos e dos Gerentes-Executivos:
I - garantir o cumprimento da PPCBC, por parte dos servidores a ele subordinados e demais usuários dos ativos de informação de sua unidade;
II - dar ciência imediata ao Deseg de qualquer ato que ponha em risco a proteção do conhecimento no âmbito do BCB;
III - classificar as áreas e as instalações sob sua responsabilidade, visando à proteção dos ativos de informação nelas armazenados;
IV - requerer ao Deseg o levantamento e a avaliação das vulnerabilidades e das ameaças, bem como a orientação para o tratamento dessas em sua unidade;
V - definir a concessão de credencial de segurança para funções, cargos ou postos de trabalho sob sua responsabilidade;
VI - implantar as ações necessárias para assegurar a proteção e a recuperação dos conhecimentos sensíveis, sob a guarda da unidade, disponíveis em meio físico;
VII - garantir que a proteção do conhecimento seja observada nas ações de continuidade de negócios, sob orientação do Deseg.
Art. 46 - São atribuições dos usuários:
I - preservar a integridade e guardar sigilo dos ativos de informação classificados, mesmo após o término do vínculo com o BCB;
II - cumprir as orientações e normas referentes à PPCBC;
III - dar ciência ao Chefe de Unidade, ou diretamente ao Deseg em casos urgentes, de qualquer ato que ponha em risco a proteção do conhecimento.
CAPÍTULO IV
DAS CONSIDERAÇÕES FINAIS
Art. 47 - O Comitê de Segurança, observadas suas competências, é o nível máximo de decisão em questões relativas à gestão da proteção do conhecimento no âmbito do BCB.
Art. 48 - A PPCBC será revista no máximo a cada três anos.
Art. 49 - Todos os manuais, regulamentos e normativos internos deverão estar em conformidade com a PPCBC.
Art. 50 - Serão promovidas campanhas de conscientização para a divulgação da PPCBC.
Art. 51 - Os procedimentos operacionais de proteção do conhecimento serão definidos em normas específicas.
Art. 52 - O descumprimento das disposições estabelecidas na PPCBC ensejará aplicação de penalidades, mediante procedimento disciplinar instaurado pela Corregedoria-Geral ou pela Procuradoria- Geral, a depender do caso.
Art. 53 - Os casos omissos serão resolvidos pelo Chefe do Deseg, observadas as atribuições previstas no Regimento Interno do Banco Central do Brasil.