Instrução Normativa Nº 03
Instrução Normativa Nº 03
Governo do Estado do Rio de Janeiro
Secretaria de Estado da Casa Civil
Centro de Tecnologia de Informação e Comunicação do Estado do Rio de Janeiro
INSTRUÇÃO NORMATIVA PRODERJ/PRE N.º 03, DE 28 DE ABRIL DE 2022
|
REGULAMENTA OS PROCEDIMENTOS DE SEGURANÇA DA INFORMAÇÃO EM SOLUÇÕES DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO – TIC A SEREM ADOTADOS PELOS ÓRGÃOS E ENTIDADES INTEGRANTES DA ADMINISTRAÇÃO DIRETA E INDIRETA DO PODER EXECUTIVO DO ESTADO DO RIO DE JANEIRO.
|
O PRESIDENTE DO CENTRO DE TECNOLOGIA DE INFORMAÇÃO E COMUNICAÇÃO DO ESTADO DO RIO DE JANEIRO - PRODERJ, no uso das atribuições que lhe conferem o inciso XVIII do art. 5º do Decreto nº 47.278, de 17 de setembro de 2020, e a Portaria PRODERJ/PRE n.º 825, de 26 de fevereiro de 2021;
RESOLVE:
CAPÍTULO I
DAS DISPOSIÇÕES GERAIS
Art. 1º Ficam regulamentados os procedimentos e recomendações a serem adotados pelos órgãos e entidades da Administração Direta e Indireta do Poder Executivo do Estado do Rio de Janeiro para desenvolvimento, migração, sustentação e segurança de sites e portais de internet.
Art. 2º Para fins desta Instrução Normativa, considera-se:
I – Site (website ou sítio eletrônico): conjunto de páginas web em hipertexto, acessíveis via Internet;
II – Portal: site na internet projetado para aglomerar e distribuir conteúdos de várias fontes diferentes de maneira uniforme, sendo um ponto de acesso para uma série de outros sites ou subsites;
III – Manutenção evolutiva: atividade de modificar um site ou portal para atender a novos requisitos e funcionalidades;
IV – Manutenção corretiva: atividade de modificar um site ou portal para a correção de falhas de funcionamento (bugs) ou vulnerabilidades;
V – Sustentação: complexo de serviços prestados, incluindo a manutenção corretiva, com o objetivo de fornecer assistência a uma infraestrutura tecnológica, visando garantir o funcionamento dos sites ou portais;
VI – Desenvolvimento: atividade de criação de um novo site ou portal, ou realização da sua manutenção evolutiva;
VII – Migração: atividade de transferir um site ou portal de uma infraestrutura tecnológica existente para outra;
VIII – Ambiente de homologação: ambiente utilizado para realização de testes e alterações necessárias do código antes da efetiva utilização do site ou portal pelo usuário final;
IX – Ambiente de produção: ambiente onde o usuário final acessa o site ou portal;
X – Sistema de Gestão de Conteúdo (Content Management System): aplicativo utilizado para criar, editar e publicar conteúdos, facilitando o trabalho dos usuários;
XI – Titular: qualquer pessoa natural, cujo dado pessoal esteja sob qualquer espécie de tratamento no ambiente institucional, conforme art. 5º, inciso V, da Lei nº 13.709, de 14 de agosto de 2018;
XII – Controlador: agente de tratamento que veiculará a definição do tratamento de dados pessoais, conforme art. 5º, inciso VI da Lei nº 13.709/2018;
XIII – Operador: agente de tratamento que executará o tratamento de dados pessoais em nome do controlador e nos moldes na definição, conforme art. 5º, inciso VII, da Lei nº 13.709/2018;
XIV – Suboperador: agente contratado pelo operador para auxiliá-lo a realizar o tratamento de dados pessoais em nome do controlador;
XV – Tratamento de Dados Pessoais: qualquer operação que incidir sobre o dado pessoal, conforme art. 5º, inciso X, da Lei nº 13.709/2018;
XVI – Modelos de Administração de site ou portal com hospedagem no PRODERJ:
a) Administração Total do PRODERJ: modelo no qual o PRODERJ desenvolve e sustenta tanto o site ou portal quanto a hospedagem nos ambientes de homologação e produção;
b) Administração Parcial do PRODERJ: modelo no qual o PRODERJ desenvolve o site ou portal, gerencia a hospedagem e o ambiente de produção, cabendo ao órgão ou entidade realizar a sustentação por meio do Sistema de Gestão de Conteúdo (Content Management System) ou do ambiente de homologação;
c) Administração do Cliente: modelo no qual os ambientes de homologação e produção estão sob total responsabilidade do órgão ou entidade, cabendo ao PRODERJ somente o gerenciamento da hospedagem dos servidores.
Art. 3º Os órgãos e entidades que pretenderem o desenvolvimento de um site/portal ou migração deverão encaminhar a solicitação à Presidência do PRODERJ por meio do Sistema Eletrônico de Informação - SEI/RJ.
Parágrafo único. Os setores mencionados no caput deverão manifestar-se expressamente se há hipótese de terceirização no procedimento licitatório e acerca de sua regularidade.
Art. 4º Os órgãos e entidades que pretenderem solicitar a sustentação do site/portal deverão abrir um chamado e encaminhar ao PRODERJ por meio de sua Central de Atendimento.
§1º Somente os órgãos e entidades cujo site ou portal sejam operados sob o modelo de Administração Total do PRODERJ poderão solicitar à Autarquia o serviço de sustentação.
§2º A sustentação de primeiro nível será realizada pelo próprio cliente no Sistema Gerenciador de Conteúdo (Content Management System), devendo o órgão ou entidade, no caso de demandas de maior complexidade, solicitar sua resolução ao PRODERJ através da Central de Atendimento.
§3º O detalhamento dos procedimentos para solicitação dos serviços de sustentação de site ou portal ao PRODERJ é descrito no Capítulo III desta Instrução Normativa.
CAPÍTULO II
DOS PROCEDIMENTOS PARA ATENDIMENTO
DAS DEMANDAS DE DESENVOLVIMENTO OU MIGRAÇÃO DE SITE OU PORTAL
Art. 5º A Presidência do PRODERJ, após o recebimento da solicitação por meio do processo SEI/RJ, encaminhará a demanda à área técnica da Autarquia para análise, levantamento de requisitos e funcionalidades (no caso de desenvolvimento) e definição do orçamento do serviço com elaboração de proposta técnica pelo setor de relacionamento com o cliente.
Parágrafo único. Caso a demanda seja de desenvolvimento, a área técnica do PRODERJ poderá realizar reuniões presenciais ou por meio de videoconferência com o órgão ou entidade, da qual será reduzida a ata de reunião resumida, que deverá instruir o procedimento administrativo da contratação solicitada.
Art. 6º O setor responsável pelo relacionamento com cliente, com base no orçamento definido pela área técnica, elaborará a proposta técnica, a ser submetida por e-mail à aprovação do órgão ou entidade solicitante.
Parágrafo único. Após a aprovação, o órgão ou entidade anexa a proposta técnica aos autos do processo SEI/RJ, que deverá ser encaminhado ao PRODERJ.
Art. 7º A área administrativa do PRODERJ elaborará a proposta comercial e a sugestão de minuta do contrato de prestação de serviço, que serão anexadas ao processo SEI/RJ juntamente com os documentos de habilitação e tabela de preços, encaminhados ao órgão ou entidade.
§1º O órgão ou entidade deverá realizar os procedimentos necessários à contratação, conforme previsto no Decreto nº 46.642, de 17 de abril de 2019, ou demais normativos pertinentes que vierem a substitui-lo, e encaminhará o contrato, via SEI/RJ, à Presidência do PRODERJ para assinatura.
§2º Os serviços poderão ser contratados por dispensa de licitação, com base no art. 24, inciso XVI, da Lei nº 8.666, de 21 de junho de 1993, nos termos da legislação vigente.
§3º O órgão ou entidade se responsabilizará pela realização dos procedimentos para empenho da despesa, a fim de viabilizar a emissão da fatura do serviço pelo PRODERJ.
§4º A sugestão de minuta do contrato de prestação de serviço especificará o controlador e operador, bem como as espécies de tratamento de dados pessoais a serem desempenhadas pelas partes contratantes.
§5º A definição dos agentes de tratamento será realizada autonomamente por cada operação que envolva tratamento de dados pessoais por parte da Autarquia, sendo vedado o desempenho simultâneo das atividades pertinentes a controlador ou operador numa mesma relação jurídica.
§6º A contratação de um suboperador pelo operador está condicionada à prévia autorização formal do controlador, salvo se houver cláusula autorizativa no contrato.
Art. 8º O serviço será prestado pela área técnica do PRODERJ e, após homologação do órgão ou entidade, o site ou portal será publicado no ambiente de produção, encerrando-se o atendimento à demanda.
CAPÍTULO III
DOS PROCEDIMENTOS PARA ATENDIMENTO
DAS DEMANDAS DE SUSTENTAÇÃO DE SITE OU PORTAL
Art. 9º Após o recebimento da solicitação pela Central de Atendimento, a área técnica do PRODERJ realizará triagem para definir o procedimento interno de atendimento à demanda.
Parágrafo único. Caso o PRODERJ não seja o administrador total do site ou portal, ou a demanda seja referente a atividades de desenvolvimento, a área técnica enviará a solicitação para o setor de relacionamento com o cliente, que entrará em contato com o órgão ou entidade para explicar os procedimentos descritos no Capítulo II desta Instrução Normativa.
Art. 10. O serviço será prestado pela área técnica do PRODERJ e, após homologação do cliente, o site ou portal será publicado no ambiente de produção.
Parágrafo único. O atendimento será encerrado por meio de e-mail enviado pela área técnica ao órgão ou entidade.
CAPÍTULO IV
DOS PROCEDIMENTOS E RECOMENDAÇÕES DE SEGURANÇA
Art. 11. A comunicação entre os sites ou portais hospedados no PRODERJ e os usuários finais deverá ser criptografada. Para tal, o órgão ou entidade deverá fornecer, obrigatoriamente, o certificado SSL compatível com a tecnologia adotada pelo site ou portal.
§1º O certificado deverá ser assinado por autoridade de certificação confiável. A aquisição do certificado SSL no Estado do Rio de Janeiro deverá observar o art. 1º do Decreto nº 47.365, de 16 de novembro de 2020, que define a obrigação da sua aquisição e emissão junto à Imprensa Oficial do Estado do Rio de Janeiro (IOERJ), salvo a edição de nova regulamentação que venha a dispor sobre o tema.
§2º Após a aquisição do certificado SSL, sua implementação deverá ser solicitada por meio da Central de Atendimento do PRODERJ.
§3º O nome no certificado deve corresponder ao Fully Qualified Domain Name (Nome de Domínio Completamente Qualificado) do site ou portal.
§4º O certificado deverá ser válido e não poderá estar expirado.
Art. 12. O desenvolvimento de sites ou portais devem seguir as melhores práticas de desenvolvimento seguro.
§1º Recomenda-se a utilização do NIST Cyber Security Framework (Modelo de segurança cibernética) e o Open Web Application Security Project (Projeto Aberto de Segurança em Aplicações Web) no desenvolvimento de sites ou portais.
§2º O Sistema de Gestão de Conteúdo (Content Management System) deverá ser mantido atualizado com as últimas correções de segurança disponíveis, sendo recomendado e fornecido suporte pelo PRODERJ unicamente para o sistema Drupal.
§3º Recomenda-se a utilização das melhores técnicas vigentes para a produção de códigos seguros, de modo a reduzir quaisquer vulnerabilidades em aplicações desenvolvidas.
Art. 13. O PRODERJ executará os backups dos sistemas hospedados, devendo as responsabilidades das tarefas relacionadas aos backups, tais como a elaboração de scripts, periodicidade, execução e guarda, serem definidas de acordo com o modelo de administração de site ou portal com hospedagem no PRODERJ, conforme detalhado no Anexo Único desta Instrução Normativa.
Art. 14. Os códigos-fonte dos sistemas hospedados no PRODERJ deverão ser devidamente protegidos e não poderão estar disponíveis publicamente em repositórios públicos.
Parágrafo único. Os sites ou portais não deverão possuir credencias de usuário e senha dentro dos seus códigos-fonte, tampouco em scripts e código HTML, devendo-se utilizar sempre API de autenticação segura.
Art. 15. O PRODERJ responderá aos incidentes relatados pelas entidades responsáveis pela infraestrutura de Internet brasileira e internacional, bem como aos incidentes detectados pelo monitoramento da Autarquia referentes ao domínio "rj.gov.br".
§1º Visando manter o ambiente seguro, a área técnica do PRODERJ realiza a análise de risco e escaneamento de vulnerabilidades da infraestrutura dos sites ou portais dos órgãos e entidades hospedados na Autarquia, nos modelos de administração “total” e “parcial” do PRODERJ. Quando vulnerabilidades que impactem em risco elevado são encontradas, os responsáveis pela eliminação do risco são informados pelo PRODERJ, por meio de um relatório de análise de vulnerabilidades.
§2º Novos sites ou portais só poderão entrar em produção no PRODERJ após a análise de vulnerabilidade. Como forma de proteger a reputação do domínio "rj.gov.br", os órgãos e entidades que hospedam seus sites ou portais no PRODERJ, caso não respondam adequadamente às notificações de incidentes, análise de risco e vulnerabilidade emanadas pela Autarquia, poderão ter seus sites/portais congelados até que se adequem.
§3º A realização de análise de vulnerabilidade não exime o órgão ou entidade das suas responsabilidades pela manutenção do sistema livre de falhas de segurança que possam ser exploradas por criminosos virtuais.
§4º Para os sites ou portais com hospedagem no PRODERJ no modelo de “Administração do cliente”, a análise de risco e escaneamento de vulnerabilidades de sua infraestrutura, constante no catálogo de serviços da Autarquia, poderá ser contratada pelos órgãos e entidades junto ao setor de relacionamento com o cliente.
Art. 16. Os sistemas legados considerados vulneráveis e com risco ou alto histórico de invasões, sem que tenham sido tomadas as correções devidas ou que o proprietário da informação do site não seja adequadamente identificado, poderão ser, a critério do PRODERJ, retirados da internet e congelados até que o órgão ou entidade responsável realizem as correções devidas.
Art. 17. A atribuição das responsabilidades em relação à segurança da informação varia de acordo com o modelo de administração de site ou portal com hospedagem no PRODERJ, conforme sumarizado no Anexo Único desta Instrução Normativa.
CAPÍTULO V
DISPOSIÇÕES FINAIS
Art. 18. Os casos omissos serão dirimidos pelo PRODERJ, que poderá expedir normas complementares a esta Instrução Normativa, bem como disponibilizar em meio eletrônico informações adicionais.
Art. 19. Esta Instrução Normativa entra em vigor na data de sua publicação.
Rio de Janeiro, 28 de abril de 2022.
JOSÉ MAURO DE FARIAS JUNIOR
Presidente
Este texto não substitui o publicado no DOERJ de 02.05.2022.
ANEXO ÚNICO
MATRIZ DE RESPONSABILIDADES
Modelo: Administração Total do PRODERJ
|
|
Atividade |
PRODERJ |
Cliente |
|
Sistema Operacional e Infraestrutura |
Segurança Física do Sistema Operacional |
X |
|
|
Instalação e Atualização do Sistema Operacional |
X |
|
|
|
Instalação e Manutenção de Antivírus |
X |
|
|
|
Correção de Vulnerabilidades |
X |
|
|
|
Hardening |
X |
|
|
|
Atualização da Infraestrutura (Web Server, banco de dados, servidor de aplicação) |
X |
|
|
|
Backup |
X |
|
|
|
Administração |
X |
|
|
|
Segurança Rede |
Firewall de nova geração com IPS habilitado |
X |
|
|
Web Aplication Firewall (após análise de viabilidade técnica) |
X |
|
|
|
Monitoramento de rede |
X |
|
|
|
Proteção contra DDoS |
X¹ |
|
|
|
SIEM (após análise de viabilidade técnica) |
X |
|
|
|
Web Site |
Administração Básica (reinicialização, monitoramento, etc.) |
X |
|
|
Instalação de certificados SSL |
X |
|
|
|
Análise de vulnerabilidade inicial e periódica |
X |
|
|
|
Compra e renovação de certificados SSL |
|
X |
|
|
Correção das vulnerabilidades da aplicação |
X² |
X² |
|
|
Atualizações de segurança no CMS |
X |
|
|
|
Backups (elaboração de scripts e periodicidade) |
X |
X |
|
|
Backups (execução e guarda) |
X |
|
|
|
LGPD |
Gestão da Política de cookies |
|
X |
|
Gestão do consentimento de coleta de dados |
|
X |
|
|
Informar os tipos de dados pessoais mantidos |
|
X |
¹ Em parceria com a operadora dos circuitos de dados contratados pelo PRODERJ.
² É sempre responsabilidade do desenvolvedor.
Modelo: Administração Parcial do PRODERJ
|
|
Atividade |
PRODERJ |
Cliente |
|
Sistema Operacional e infraestrutura |
Segurança Física do Sistema Operacional |
X |
|
|
Instalação e Atualização do Sistema Operacional |
X |
|
|
|
Instalação e Manutenção de Antivírus |
X |
|
|
|
Correção de Vulnerabilidades |
X |
|
|
|
Hardening |
X |
|
|
|
Atualização da Infraestrutura (Web Server, banco de dados, servidor de aplicação) |
X |
|
|
|
Backup |
X |
|
|
|
Administração |
X |
|
|
|
Segurança Rede |
Firewall de nova geração com IPS habilitado |
X |
|
|
Web Aplication Firewall (após análise de viabilidade técnica) |
X |
|
|
|
Monitoramento de rede |
X |
|
|
|
Proteção contra DDoS |
X¹ |
|
|
|
SIEM (após análise de viabilidade técnica) |
X |
|
|
|
Web Site |
Administração Básica (reinicialização, monitoramento, etc.) |
X |
|
|
Instalação de certificados SSL |
X |
|
|
|
Análise de vulnerabilidade inicial e periódica |
X |
|
|
|
Compra e renovação de certificados SSL |
|
X |
|
|
Correção das vulnerabilidades da aplicação |
X² |
X² |
|
|
Atualizações de segurança no CMS |
X |
|
|
|
Backups (elaboração de scripts e periodicidade) |
|
X |
|
|
Backups (execução e guarda) |
X |
|
|
|
LGPD |
Gestão da Política de cookies |
|
X |
|
Gestão do consentimento de coleta de dados |
|
X |
|
|
Informar os tipos de dados pessoais mantidos |
|
X |
¹ Em parceria com a operadora dos circuitos de dados contratados pelo PRODERJ.
² É sempre responsabilidade do desenvolvedor.
Modelo: Administração do Cliente
|
|
Atividade |
PRODERJ |
Cliente |
|
Sistema Operacional e infraestrutura |
Segurança Física do Sistema Operacional |
X |
|
|
Instalação e Atualização do Sistema Operacional |
|
X |
|
|
Instalação e Manutenção de Antivírus |
|
X |
|
|
Correção de Vulnerabilidades |
|
X |
|
|
Hardening |
|
X |
|
|
Atualização da Infraestrutura (Web Server, banco de dados, servidor de aplicação) |
|
X |
|
|
Backup |
|
X |
|
|
Administração |
|
X |
|
|
Segurança Rede |
Firewall de nova geração com IPS habilitado |
X |
|
|
Web Aplication Firewall (após análise de viabilidade técnica) |
X |
|
|
|
Monitoramento de rede |
X |
|
|
|
Proteção contra DDoS |
X¹ |
|
|
|
SIEM (após análise de viabilidade técnica) |
X |
|
|
|
Web Site |
Administração Básica (reinicialização, monitoramento, etc) |
|
X |
|
Instalação de certificados SSL |
|
X |
|
|
Análise de vulnerabilidade inicial e periódica |
|
X |
|
|
Compra e renovação de certificados SSL |
|
X |
|
|
Correção das vulnerabilidades da aplicação |
|
X² |
|
|
Atualizações de segurança no CMS |
|
X |
|
|
Backups (elaboração de scripts e periodicidade) |
|
X |
|
|
Backups (execução e guarda) |
|
X |
|
|
LGPD |
Gestão da Política de cookies |
|
X |
|
Gestão do consentimento de coleta de dados |
|
X |
|
|
Informar os tipos de dados pessoais mantidos |
|
X |
¹ Em parceria com a operadora dos circuitos de dados contratados pelo PRODERJ.
² É sempre responsabilidade do desenvolvedor.