Norma de Resposta a Incidentes da Segurança da Informação Página 1 NORMA DE RESPOSTA A INCIDENTES DA SEGURANÇA DA INFORMAÇÃO Código : Vers ão : 0.1 Dat a da vers ão : 19/09/2023 Cr iado por : Intersec Solutions Aprov ado por : Classificação : Histórico de Revisões Da ta Vers ão Cr iado por Descri ção da Alteração 19/09/2023 0.1 Comitê de Segurança Documento básico 1. INTRODUÇÃO 1.1. A Norma de segurança da informação complementa Política Geral de Segurança da Informação, definindo as diretrizes para responder eventos ou incidentes de segurança estejam impactando ou possam vir a impactar ativos/serviços de informação ou recursos computacionais d o Município de Cotiporã . 2. PROPÓSITO 2.1. Estabelecer diretrizes para garantir a resposta e tratamento adequados a incidentes de segurança da informação que possam impactar ativos/serviços de informação ou recursos computacionais d o Município de Cotiporã . Norma de Resposta a Incidentes da Segurança da Informação Página 2 3. ESCOPO 3.1. Esta norma obedece ao escopo definido na Política Geral de Segurança da Informação. 4. DIRETRIZES 4.1. Incidentes de segurança da informação 4.1.1. Todas as ocorrências que possam vir a ter impacto negativo sobre a confidencialidade, integridade ou disponibilidade dos ativos/serviços de informação ou recursos computacionais d o Município de Cotiporã serão caracterizadas como um incidente de segurança d a informação, devendo as referidas ocorrências serem tratadas de maneira a minimizar qualquer tipo de impacto e recuperar as características de segurança da informação dos itens afetados; 4.1.2. Incidentes de segurança devem ser priorizados com base na criticidade dos ativos/serviços de informação ou recursos computacionais afetados, combinada com a estimativa de impacto prevista; 4.1.3. Todos os incidentes de segurança da informação ou suspeitas de inc identes de segurança da informação devem ser imediatamente comunicados a área de segurança da informação; 4.1.4. A área de segurança da informação deverá determinar a criticidade do incidente e, quando pertinente, comunicar as partes interessadas como, por exemp lo, membros do time de resposta a incidentes de segurança da informação; Norma de Resposta a Incidentes da Segurança da Informação Página 3 4.1.5. Na ocorrência de um incidente de segurança da informação, ativos/serviços de informação ou recursos computacionais com suspeita de ter sua segurança comprometida, devem ser isolados do ambiente corporativo, de forma a garantir a contenção do incidente; 4.1.6. A extensão dos danos do incidente de segurança deve ser avaliada para, em seguida, ser identificado o melhor curso de ação para erradicação completa do incidente e restauração dos ativ os de informação afetados; 4.1.7. Após a erradicação completa do incidente, deve ser realizada uma revisão completa da ocorrência, identificando o nível real de impacto, vulnerabilidades exploradas, a efetividade do tratamento aplicado e a necessidade de maiores ações para evitar a recorrência do incidente. 4.2. Time de resposta a incidentes de segurança da informação 4.2.1. O time de resposta a incidentes de segurança da informação d o Município de Cotiporã deverá ser composto por, no mínimo, representantes das seguintes áreas: 4.2.1.1. Tecnologia da informação; 4.2.1.2. Segurança da informação; 4.2.1.3. Secretaria da Administração; 4.2.2. Conforme a natureza do incidente, colaboradores de qualquer setor d o Município de Cotiporã podem ser convocados a participar do time de resposta a incidentes de segurança da informação. 4.3. Disseminação de informação sobre incidentes de segurança da informação Norma de Resposta a Incidentes da Segurança da Informação Página 4 4.3.1. Nenhum tipo de informação sobre incidentes e ocorrências de segurança da informação poderá ser divulgado para entidades ou pessoas externas a o Município de Cotiporã sem aprovação expressa e formal da secretaria de administração . 4.3.2. O vazamento de dados pessoais deve ser comunicado à Autoridade Nacional de Proteção de Dados, nos termos dos seus regulamentos. O comunicado à ANPD será precedido de ava liação do Time de Resposta a Incidentes e aprovação/autorização da Secretaria de Administração . 4.3.3. O vazamento de dados pessoais sensíveis deve ser comunicado à Autoridade Nacional de Proteção de Dados e também aos Titulares de Dados Pessoais vazados, nos te rmos dos seus regulamentos. O comunicado à ANPD será precedido de avaliação do Time de Resposta a Incidentes e aprovação/autorização da Secretaria de Administração . 4.3.3.1. Na impossibilidade de comunicação individual ao Titular de Dados Pessoais, o Município de Cotiporã providenciará publicação em mídias de massa, com o propósito de garantir minimamente condições de que os afetados sejam notificados do vazamento. 5. PAPÉIS E R ESPONSABILIDADES 5.1. SEGURANÇA DA INFORMAÇÃO 5.1.1. É responsabilidade da SEGURANÇA DA INFORMAÇÃO: 5.1.1.1. Atuar como responsável por ocorrências e eventos de segurança e garantir a existência de recursos identificar, escalar, mitigar, conter, e erradicar incidentes de segurança, bem como ações efetivas para recuperar o estado anterior de Norma de Resposta a Incidentes da Segurança da Informação Página 5 ativos/serviços de inf ormação ou recursos computacionais afetados pelo incidente; 5.1.1.2. Comunicar prontamente o time de resposta a incidentes de segurança da informação d o Município de Cotiporã sobre eventos e incidentes de segurança. 5.2. TIME DE RESPOSTA A INCIDENTES DE SEGURANÇA DA INFORMAÇÃO 5.2.1. É responsabilidade do TIME DE RESPOSTA A INCIDENTES DE SEGURANÇA DA INFORMAÇÃO: 5.2.1.1. Apoiar a equipe de segurança da informação no tratamento de ocorrências e incidentes de segurança da informação, fornecendo orientação e direcionamento estratégico dentro da área de especialidade de cada um dos participantes do time de resposta a incidentes de segurança da informação; 5.2.1.2. Aconselhar a secretaria de administração do Município de Cotiporã sobre quais informações sobre eventos e incidentes de segurança da informação podem ser divulgadas para públicos internos e externos. 5.3. ASSESSORIA DE IMPRENSA 5.3.1. É responsabilidade da ASSESSORIA DE IMPRENSA : 5.3.1.1. Aprovar qualquer tipo de comunicação ou disseminação total ou parcial de informações sobre ocorrências e incidentes de segurança da informação para qualquer parte ou público. 6. SANÇÕES E PUNIÇÕES Norma de Resposta a Incidentes da Segurança da Informação Página 6 6.1. Sanções e punições serão aplicadas conforme previsto na Política Geral de Segurança da Informação. 7. REVISÕES 7.1. Esta norma é revisada com periodicidade anual ou conforme o entendimento do Comitê Gestor de Segurança da Informação. 8. GESTÃO DA NORMA 8.1. A presente norma é aprovada pelo Comitê Gestor de Segurança da Informação, em conjunto com a Gestão do Município de Cotiporã . 8.2. A presente norma foi aprovada no dia 19/09/2023. Ivelton Mateus Zardo Prefeito de Cotiporã Joana Inês Citolin Zanovello Secretaria de Administração