O processo de Sensibilização em SIC - “É Você Quem Faz” tem o objetivo de conscientizar os agentes públicos do Ministério da Saúde sobre a importância da Segurança da Informação e Comunicações no ambiente corporativo.

Para o alcance máximo no número de agentes público capacitados, o MS por meio de DATASUS, disponibilizou na plataforma EAD do UniverSUS o CONSIC – Conscientização em Segurança da Informação e Comunicações, abordando diversos assuntos relacionados ao tema.

A capacitação em Segurança da Informação e Comunicações no Ministério da Saúde, visa o atendimento da Norma Complementar Nº.03/IN01/DSIC/GSIPR, de 30 de junho de 2009, da Política de Segurança da Informação e Comunicações - POSIC/MS Portaria GM nº 271, Publicada em 27 de janeiro de 2017, Acórdão Nº.757/2011-TCU e Complementar Nº.18/IN01/DSIC/GSIPR, 18 de abril de 2013.

O NSIC está disponível para esclarecimentos e apoio durante a execução do curso.

Duvidas e ou esclareciamentos datasus.csic@saude.gov.br

Este material tem o objetivo de levar ao conhecimento dos Agentes Públicos do Ministério da Saúde a importância da Segurança da Informação, boas práticas de SIC, assim como os normativos e a POSIC-MS (Política de Segurança da Informação e Co­municações). Reforçar o comprometimento do MS e os níveis hierárquicos em relação a POSIC e Normas publicadas.

Cartilha de SIC

São alguns conceitos:

Ativo: qualquer bem, tangível ou intangível que tenha valor para a organização;

Ativo de informação: ativo que guarda informações do órgão;

Autenticidade: é a garantia de que o conteúdo da informação seja
verdadeiro, como também a fonte geradora da informação e o seu 
destinatário sejam realmente quem alegam ser. Propriedade de que a informação e comunicação sejam produzidas, expedidas, modificadas ou destruídas por determinada pessoa física, ou por determinado sistema, órgão ou entidade.

Ciclo de vida da informação: compreende as fases de criação, manuseio, armazenamento, transporte e descarte da informação, considerando sua confidencialidade, integridade e disponibilidade;

Código Malicioso: programa desenvolvido para executar ações danosas em um computador, rede ou sistema.

Classificação da informação: atribuição, pela autoridade competente, de grau de sigilo dado à informação, documento, material, área ou instalação;

Confidencialidade: garantia de que o acesso à informação seja obtido somente por pessoas autorizadas;

Conta de acesso: conjunto do "nome de usuário" e "senha" utilizado para acesso aos sistemas informatizados e recursos de TIC;

Controles de Segurança: forma de gerenciar o risco, incluindo políticas, procedimentos, diretrizes, práticas ou estruturas organizacionais, que podem ser de natureza administrativa, técnica, de gestão ou legal;

Dado: informação preparada para ser processada, operada e transmitida por um sistema ou programa de computador;

Dados confidenciais: dados pessoais que permitam a identificação da pessoa e possam ser associados a outros dados referentes ao endereço, idade, raça, opiniões políticas e religiosas, crenças, ideologia, saúde física, saúde mental, vida sexual, registros policiais, assuntos familiares, profissão e outros que a Lei assim o definir, não podendo ser divulgados ou utilizados para finalidade distinta da que motivou a estruturação do banco de dados, salvo por ordem judicial ou com anuência expressa do titular ou seu representante legal;

Disponibilidade: garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário;

Evento: ocorrência identificada de um sistema, serviço ou rede que indica uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente conhecida que possa ser relevante para a segurança da informação; (ISO/IEC TR 18044:2004);

Gestão de Riscos: processo que visa identificar, quantificar e mitigar os riscos a que estão submetidas as informações de um determinado sistema órgão ou entidade.

Gestor da informação: agente público do Ministério da Saúde responsável pela administração das informações geridas nos processos de trabalho sob sua responsabilidade;

Grau de sigilo: gradação de segurança atribuída a dados e informações em decorrência de sua natureza ou conteúdo;

Incidente de Segurança: todo e qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança de sistemas de informação ou de redes de computadores;

Integridade: salvaguarda da exatidão e completeza da informação e dos métodos de processamento; 

Quebra de segurança: a ação ou omissão, intencional ou acidental, que resulta no comprometimento ou no risco de comprometimento da informação;

Recursos de TIC: recursos de tecnologia da informação e comunicação que processam, armazenam e transmitem informações, tais como aplicações, sistemas de informação, estações de trabalho, notebooks, servidores de rede, equipamentos de conectividade e infraestrutura.

Segurança da informação e Comunicações: preservação da confidencialidade, da integridade e da disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas;

SPAM: são mensagens eletrônicas que são enviadas o consentimento contendo propagandas e conteúdos mais agressivos (como vírus) e ainda conseguem obter suas informações pessoais — como dados bancários, por exemplo.

Vírus: são os programas mais utilizados para causar danos, roubar informações, etc. Têm a capacidade de infectar um sistema, fazer cópias de si mesmo e tentar se espalhar para outros computadores;

Worms: é um programa malicioso que se utiliza de uma rede para se espalhar por vários computadores sem que nenhum usuário interfira neste processo

Malware: é a combinação das palavras inglesas malicious e software, ou seja, programas maliciosos. São programas e comandos feitos para diferentes propósitos: apenas infiltrar um computador ou sistema, causar danos e apagar dados, roubar informações, divulgar serviços, etc.

Phishing: tem o objetivo de “pescar” informações e dados pessoais importantes através de mensagens falsas.

Trojan: é um conjunto de funções desenvolvido para executar ações indesejadas e escondidas.