PORTARIA Nº 126, DE 5 DE NOVEMBRO DE 2013
Institui a Política de Segurança da Informação e Comunicações do Ministério do Desenvolvimento Social e Combate à Fome e dá outras providências.
A MINISTRA DE ESTADO DO DESENVOLVIMENTO SOCIAL E COMBATE À FOME, no uso das atribuições que lhe conferem os incisos I e IIdo parágrafo único do art. 87 da Constituição Federal de 1988, tendo em vista o disposto no Decreto nº 3.505, de 13 de junho de 2000, e no art. 5º, VII, da Instrução Normativa GSI/PR nº 1, de 13 de junho de 2008,
CONSIDERANDO a necessidade de estabelecer os direcionamentos e os valores adotados para a Gestão da Segurança da Informação e Comunicações no âmbito do Ministério do Desenvolvimento Social e Combate à Fome – MDS; e
CONSIDERANDO a importância que deve ser dada à garantia da integridade, disponibilidade, confidencialidade e autenticidade dos dados e das informações nos mais diversos suportes utilizados pelo MDS, resolve:
Art. 1º Aprovar, conforme o Anexo, a Política de Segurança da Informação e Comunicações – POSIC, no âmbito do MDS, regida por esta Portaria e pelas normas e procedimentos complementares a esta.
Parágrafo único. A POSIC destina-se a:
I – implementar controles de segurança física, organizacional e tecnológica, de forma a impedir o uso inadequado e o acesso não autorizado às informações produzidas ou custodiadas pelo MDS;
II – garantir o cumprimento das normas e procedimentos de Segurança da Informação e Comunicações – SIC pelos usuários do MDS.
Art. 2º A busca pela garantia da SIC é de responsabilidade de todos os seus usuários, não se limitando àqueles que desempenham funções com deveres de segurança da informação.
Art. 3º Serão disponibilizados os recursos e meios necessários para a implantação da Gestão da Segurança da Informação e Comunicações, no âmbito do MDS.
Art. 4º Esta Portaria entra em vigor na data de sua publicação.
TEREZA CAMPELLO
ANEXO
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES
CAPÍTULO I
DISPOSIÇÕES PRELIMINARES
Seção I
Objetivos
Art. 1º A POSIC objetiva garantir a disponibilidade, integridade, confidencialidade e autenticidade das informações produzidas ou custodiadas pelo MDS.
Art. 2º O MDS deve observar as diretrizes, normas, procedimentos, mecanismos, competências e responsabilidades estabelecidos nesta POSIC.
Art. 3º Integram a POSIC as normas e os procedimentos complementares destinados à proteção da informação e à disciplina de sua utilização.
Art. 4º As diretrizes de SIC devem considerar, prioritariamente, os objetivos estratégicos e a estrutura do MDS.
Seção II
Abrangência
Art. 5º As disposições da POSIC aplicam-se aos servidores, prestadores de serviço, fornecedores, estagiários, consultores, conselheiros e a quem, de alguma forma, execute atividades vinculadas a este Ministério.
Parágrafo único. As pessoas a que se refere o caput devem estar comprometidas com a segurança da informação e comunicações.
Art. 6º Os contratos, acordos e outros instrumentos congêneres celebrados pelo MDS devem conter cláusulas que determinem a observância da POSIC e de documentos correlatos.
Art. 7º A POSIC aplica-se, no que couber, às relações do MDS com outros órgãos públicos e com entidades privadas.
Seção III
Definições
Art. 8º No âmbito da POSIC, considera-se:
I – ameaça: evento que tem potencial em si para comprometer os objetivos da instituição, gerando danos diretos aos ativos de informação ou prejuízos decorrentes de situações inesperadas;
II – ativos de informação: as informações, os sistemas de informação, os meios de produção, armazenamento, transmissão e processamento de informações, bem como os locais onde se encontram esses meios e as pessoas que a eles têm acesso;
III – autenticidade: propriedade de que a informação foi produzida, expedida, modificada ou destruída por uma determinada pessoa física ou por um determinado sistema, órgão ou entidade;
IV – classificação da informação: identificação dos níveis de proteção que as informações demandam e estabelecimento de classes e formas de identificá-las, além da determinação dos controles de proteção necessários a cada uma delas;
V – Comitê de Segurança da Informação e Comunicações -CSIC: colegiado de caráter deliberativo responsável pela normatização e supervisão da segurança da informação e comunicações no âmbito do MDS, conforme norma específica da Secretaria Executiva;
VI – confidencialidade: propriedade de que a informação não esteja disponível ou revelada a pessoa física, sistema, órgão ou entidade não autorizado e credenciado;
VII – controle de acesso: conjunto de procedimentos, recursos e meios utilizados com a finalidade de conceder ou bloquear o acesso a ativos de informação;
VIII – disponibilidade: propriedade de que a informação esteja acessível e utilizável, sob demanda, por uma pessoa física ou determinado sistema, órgão ou entidade;
IX – Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais – ETIR: colegiado responsável por receber, analisar e responder as notificações e atividades relacionadas a incidentes de segurança em redes de computadores no âmbito do MDS, a ser instituído pelo Secretário Executivo;
X – gestão de continuidade dos negócios: processo de gestão que identifica ameaças potenciais para uma instituição e os possíveis impactos em suas atividades, caso estas ameaças se concretizem, fornecendo uma estrutura para que se desenvolva uma resiliência organizacional capaz de responder efetivamente às ameaças e salvaguardar os interesses da instituição;
XI – Gestão de Riscos de Segurança da Informação e Comunicações – GRSIC: conjunto de processos contínuos que permite identificar e implementar as medidas de proteção necessárias para minimizar ou eliminar os riscos a que estão sujeitos os ativos de informação, bem como equilibrá-los com os custos operacionais e financeiros envolvidos;
XII – gestor de SIC: servidor designado como responsável pela gestão de SIC no âmbito do MDS;
XIII – incidente de SIC: evento que tenha causado algum dano, colocado em risco algum ativo de informação crítico ou interrompido a execução de alguma atividade crítica por um período de tempo superior ao tempo objetivo de recuperação;
XIV – informação: conjunto de dados, textos, imagens, métodos, sistemas ou quaisquer formas de representação dotadas de significado em determinado contexto, independentemente do suporte em que residam ou da forma pela qual sejam veiculadas;
XV – integridade: propriedade de que a informação não foi modificada ou destruída de maneira não autorizada ou acidental;
XVI – quebra de segurança: ação ou omissão, intencional ou acidental, que resulta no comprometimento da segurança da informação e das comunicações;
XVII – segurança física e do ambiente: processo de proteção de todos os ativos físicos da instituição, englobando instalações físicas internas e externas, nas localidades em que a instituição esteja presente;
XVIII – terceiro: qualquer pessoa, física ou jurídica, de natureza pública ou privada, que não execute atividade vinculada ao MDS.
XIX – usuário: indivíduo que faz uso de informação ou canal de comunicação do MDS;
XX – vulnerabilidade: fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças;
XXI – acordo de nível de serviço: acordo entre um provedor de serviço de Tecnologias da Informação e Comunicação – TIC e um cliente, por intermédio do qual se estabelecem prazos e metas a serem cumpridos;
XXII – gestão de mudanças: conjunto de práticas gerenciais que visa reduzir ao máximo o impacto das mudanças em uma instituição;
XXIII – hardware, material ou ferramental: parte física do computador, ou seja, o conjunto de componentes eletrônicos, circuitos integrados e placas, que se comunicam através de barramentos; e
XXIV – software: parte lógica do computador, ou seja, o conjunto de instruções e dados processado pelos circuitos eletrônicos do hardware.
CAPÍTULO II
DIRETRIZES GERAIS
Art. 9º O cumprimento da POSIC deverá ser avaliado periodicamente por meio de verificações de conformidade, realizadas pelo CSIC, destinadas à certificação do cumprimento dos requisitos de segurança da informação e garantia de cláusula de responsabilidade e sigilo.
Art. 10. Cabe à Coordenação Geral de Recursos Humanos -CGRH/SAA, com o apoio da Diretoria de Tecnologia – DTI/SE, instituir plano regular de capacitação, conscientização e sensibilização em SIC, buscando parcerias com outros órgãos e entidades.
Art. 11. Os membros do CSIC devem receber regularmente capacitação especializada nas disciplinas relacionadas à SIC.
Art. 12. O CSIC deve auxiliar os ocupantes de cargo de provimento em comissão do Grupo-Direção e Assessoramento Superiores – DAS, de níveis 6 e 5, ou equivalentes, na priorização de ações e investimentos, com vistas à correta aplicação de mecanismos de proteção dos ativos de informação, tendo como base as exigências estratégicas e as necessidades operacionais prioritárias, bem como as implicações que o nível de segurança pode trazer ao cumprimento destas exigências.
Art. 13. O CSIC deve planejar medidas de proteção aos ativos de informação e balancear os custos na aplicação de controles de medidas preventivas, de acordo com os danos potenciais de falhas de segurança.
Art. 14. O MDS, além das diretrizes estabelecidas nesta POSIC, deve se orientar pelas melhores práticas e procedimentos de SIC recomendados por órgãos e entidades públicas e privadas responsáveis pelo estabelecimento de padrões.
Art. 15. E vedado comprometer a disponibilidade, a integridade, a confidencialidade, a autenticidade das informações criadas, manuseadas, armazenadas, transportadas, descartadas ou custodiadas pelo MDS.
CAPÍTULO III
DIRETRIZES ESPECÍFICAS
Art. 16. Para cada uma das diretrizes constantes das seções deste capítulo devem ser elaboradas normas táticas específicas, manuais e procedimentos.
Seção I
Da Gestão dos Ativos de Informação
Art. 17. Os ativos de informação devem:
I – ser inventariados e protegidos, quando se tratar de software ou hardware;
II – ter identificados os seus proprietários e custodiantes, quando se tratar de software, hardware ou pessoas;
III – ter mapeadas as suas ameaças, vulnerabilidades e interdependências, quando se tratar de software ou hardware;
IV – ter a sua a entrada e saída nas dependências do MDS autorizadas e registradas por autoridade competente, quando se tratar de software, hardware ou pessoas;
V – ser passíveis de monitoramento e ter seu uso investigado quando houver indícios de quebra de segurança, por meio de mecanismos que permitam a rastreabilidade do uso desses ativos, quando se tratar de software, hardware ou pessoas;
VI – ser regulamentados por norma específica quanto à sua utilização, a ser editada pelo Secretário Executivo, quando se tratar de software, hardware ou pessoas; e
VII – ser utilizados estritamente dentro do seu propósito, sendo vedado seu uso para fins particulares ou de terceiros, entretenimento e veiculação de opiniões político-partidárias, religiosas, discriminatórias e afins quando se tratar de software, hardware ou pessoas.
Art. 18. O MDS deve criar, gerir e avaliar critérios de tratamento e classificação da informação, de acordo com o sigilo, relevância, criticidade e sensibilidade requeridos, observada a legislação vigente, em especial a Lei nº 12.527, de 18 de novembro de 2011.
Art. 19. Os recursos tecnológicos e as instalações de infraestrutura devem ser protegidos contra indisponibilidade, acessos indevidos, falhas, perdas, danos, furtos, roubos e interrupções não programadas.
Art. 20. Os sistemas de informação devem ser protegidos contra indisponibilidade, alterações ou acessos indevidos, falhas e interrupções não programadas.
Art. 21. O acesso dos usuários aos ativos de informação e sua utilização, quando autorizados pela norma a que se refere o inciso VI do art. 17, devem ser condicionados ao aceite a termo de sigilo e responsabilidade.
Seção II
Da Gestão de Riscos
Art. 22. O CSIC deve estabelecer processos de GRSIC que possibilitem identificar ameaças e reduzir vulnerabilidades e impactos sobre os ativos de informação.
Art. 23. A GRSIC deve ser aplicada na implementação e operação da SIC, levando em consideração o planejamento, execução, análise crítica e melhoria da SIC no MDS.
Parágrafo único. O CSIC deve instituir metodologias ou normas que estabeleçam a GRSIC, observada a Norma Complementar nº 04/IN01/DSIC/GSIPR.
Seção III
Da Segurança Física e do Ambiente
Art. 24. O CSIC deve estabelecer mecanismos de proteção às instalações físicas e áreas de processamento de informações críticas ou sensíveis contra acesso indevido, danos e interferências.
Parágrafo único. As proteções devem estar alinhadas aos riscos identificados.
Seção IV
Da Conscientização dos Usuários
Art. 25. Os usuários devem ter ciência:
I – das ameaças relativas à SIC; e
II – de suas responsabilidades e obrigações, no âmbito desta POSIC.
Art. 26. Os usuários devem difundir e exigir o cumprimento da POSIC, das normas de segurança e da legislação vigente aplicável.
Art. 27. Devem ser estabelecidos processos permanentes de conscientização, capacitação e sensibilização em segurança da informação, que alcancem todos os usuários do MDS, de acordo com suas competências funcionais.
Seção V
Da Segurança em Recursos Humanos
Art. 28. A gestão de recursos humanos fica a cargo do titular da unidade administrativa, juntamente com a CGRH/SAA.
Parágrafo único. Cabe à gestão de recursos humanos a tarefa de sugerir aos Gestores de Ativos de Informação os perfis e permissões necessários à salvaguarda da SIC, no âmbito do MDS.
Seção VI
Da Gestão de Operações e Comunicações
Art. 29. O CSIC deve estabelecer parâmetros adequados, relacionados à SIC, para a disponibilização dos serviços, sistemas e infraestrutura de apoio, de forma que atendam aos requisitos mínimos de qualidade e reflitam as necessidades operacionais do MDS.
Art. 30. Quando a prestação de serviços for realizada por meio de contrato, os acordos de nível de serviço devem ser compatíveis com padrões de mercado e requisitos de segurança.
Seção VII
Dos Controles de Acessos
Art. 31. Eventos relevantes, previamente definidos, para a segurança e o rastreamento de acesso às informações devem ser registrados.
Art. 32. Devem ser criados mecanismos para garantir a exatidão dos registros de auditoria nos ativos de informação.
Art. 33. Os usuários que tenham vínculo com o MDS são responsáveis pelos atos praticados com suas credenciais, tais como login, senha, crachá, carimbo, endereço de correio eletrônico e assinatura digital.
Art. 34. A identificação do usuário, qualquer que seja o meio e a forma, deve ser pessoal e intransferível, permitindo de maneira clara e inequívoca o seu reconhecimento.
Art. 35. A autorização, o acesso e o uso das informações e dos recursos computacionais devem ser controlados e limitados ao necessário, consideradas as atribuições de cada usuário.
Art. 36. Os usuários não terão acesso administrativo em seus computadores.
Parágrafo único. Qualquer forma de uso ou acesso especial nos computadores deverá ser previamente autorizado pela DTI.
Art. 37. Os privilégios de acesso às informações e recursos computacionais devem ser ajustados imediatamente quando houver mudança nas atribuições de determinado usuário, e devem ser cancelados em caso de desligamento do usuário do MDS.
Art. 38. Os ativos de informação do MDS, automatizados ou não, devem ter um gestor, formalmente designado pela autoridade competente, que deve definir os privilégios de acesso às informações.
Art. 39. Os sistemas do MDS devem possuir normas específicas, em seu âmbito de atuação, que regrem o controle de acesso quanto:
I – às suas bases de dados;
II – à extração, carga e transformação de dados; e
III – aos serviços acessíveis via linguagem de programação. Art. 40. Os sistemas do MDS devem possuir mecanismos automáticos para:
I – revogar as concessões e desativar as contas de acesso dos usuários nos casos de exoneração, demissão, aposentadoria, falecimento e outros casos de desligamento;
II – bloquear as contas de acesso do usuário nos casos de licença, afastamento, cessão e disponibilidade; e
III – tratar os casos de relotação do usuário, segundo as definições constantes na norma de controle de acesso ao sistema.
Seção VIII
Do Tratamento de Incidentes
Art. 41. O CSIC deve instituir metodologias ou normas que estabeleçam processos de gestão para tratamento e respostas a incidentes de segurança, observadas as normas técnicas do Centro de Tratamento de Incidentes de Segurança de Redes de Computadores da Administração Pública Federal – CTIR gov.
Art. 42. Os membros da ETIR devem ter perfil técnico adequado às funções de tratamento de incidentes em redes computacionais.
Seção IX
Da Gestão de Continuidade
Art. 43. O CSIC deve instituir metodologias ou normas que estabeleçam a Gestão de Continuidade do Negócio, de acordo com a Norma Complementar nº 06/IN01/DSIC/GSIPR.
Seção X
Da Propriedade Intelectual
Art. 44. As informações produzidas por servidores, prestadores de serviço, fornecedores, estagiários, consultores e conselheiros, no exercício de suas funções, são patrimônio intelectual do MDS, na forma da legislação vigente.
Art. 45. É vedada a divulgação de informações produzidas por usuários e terceiros para uso exclusivo do MDS, em quaisquer outros projetos ou atividades de uso diverso do estabelecidos pelo Ministério.
Seção XI
Dos Contratos, Acordos e Instrumentos Congêneres
Art. 46. Os contratos, acordos e instrumentos congêneres celebrados pelo MDS devem:
I – conter cláusula que estabeleça a obrigatoriedade de observância a esta POSIC;
II – prever a obrigação do contratado de divulgar esta POSIC e suas normas complementares aos empregados e prepostos envolvidos em atividades no MDS;
III – obedecer aos procedimentos e objetivos de gestão de mudanças definidos em norma complementar.
Art. 47. Caso uma das partes deseje encerrar a relação antes do final do acordo, deverá ser respeitado o plano de contingência de TIC, que consiste em um conjunto de estratégias que garantem o serviço mínimo, definido por norma a ser proposta pelo CSIC.
CAPÍTULO IV
PENALIDADES
Art. 48. Ações que violem a POSIC ou que quebrem os controles de SIC serão devidamente apuradas e aos responsáveis serão aplicadas as sanções penais, administrativas e civis em vigor.
CAPÍTULO V
COMPETÊNCIAS E RESPONSABILIDADES
Art. 49. Cabe ao Gestor de Segurança da Informação e Comunicações:
I – promover cultura de segurança da informação e comunicações;
II – acompanhar as investigações e as avaliações dos danos decorrentes de quebras de segurança;
III – pleitear os recursos necessários às ações de SIC;
IV – coordenar o CSIC e a ETIR;
V – realizar e acompanhar estudos de novas tecnologias, quanto a possíveis impactos na SIC;
VI – examinar, formular, promover e coordenar as ações de SIC no MDS, em articulação com o Departamento de Segurança da Informação e Comunicações do Gabinete de Segurança Institucional da Presidência da República – DSIC/PR;
VII – propor normas e procedimentos de SIC no âmbito do Ministério; e
VIII – dirimir as dúvidas surgidas na aplicação da POSIC e resolver os casos omissos.
Art. 50. Cabe ao CSIC:
I – normatizar e supervisionar a SIC no âmbito do MDS; II – constituir grupos de trabalho para tratar de temas e propor soluções específicas sobre SIC;
III – propor alterações na POSIC;
IV – solicitar apurações quando houver suspeita de ocorrência de quebra de SIC;
V – avaliar, revisar e analisar criticamente a POSIC e suas normas complementares, preservando a sua aderência aos objetivos institucionais do MDS e à legislação vigente aplicável;
VI – indicar os integrantes da ETIR;
VII – apoiar e orientar a tomada de decisões institucionais e otimizar investimentos em segurança que visem à eficiência, eficácia e efetividade das atividades de SIC.
VIII – editar normas e procedimentos complementares a esta POSIC, de acordo com as normas complementares editadas pelo Departamento de Segurança da Informação e Comunicações do Gabinete de Segurança Institucional da Presidência da República.
Art. 51. Cabe à ETIR:
I – facilitar e coordenar as atividades de tratamento e resposta a incidentes de segurança;
II – promover a recuperação de sistemas;
III – agir proativamente com o objetivo de evitar que ocorram incidentes de segurança, divulgando práticas e recomendações de SIC e avaliando condições de segurança de rede por meio de verificações de conformidade;
IV – realizar ações reativas que incluam o recebimento de notificações de incidentes, a orientação de equipes no reparo a danos e a análise de sistemas comprometidos, em busca de causas, danos e responsáveis;
V – analisar ataques e intrusões na rede do MDS;
VI – executar as ações necessárias para tratar quebras de segurança;
VII – obter informações quantitativas acerca dos incidentes ocorridos, que descrevam sua natureza, causa, data de ocorrência, frequência e custos resultantes;
VIII – cooperar com outras equipes de tratamento e resposta a incidentes; e
IX – participar de fóruns e redes nacionais e internacionais relativos à SIC.
Art. 52. Cabe aos Gestores de Ativos de Informação:
I – garantir a segurança dos ativos de informação sob sua responsabilidade;
II – definir e gerir os requisitos de segurança para os ativos de informação sob sua responsabilidade, em conformidade com esta POSIC;
III – conceder e revogar acessos aos ativos de informação; IV – comunicar à ETIR a ocorrência de incidentes de SIC; e
V – designar Custodiante dos Ativos de Informação, quando for o caso.
Art. 53. Cabe ao Custodiante de Ativos de Informação proteger e manter os ativos de informação, bem como controlar o seu acesso, conforme os requisitos definidos pelo gestor do ativo de informação, de acordo com esta POSIC.
Art. 54. Cabe aos titulares das unidades administrativas:
I – corresponsabilizar-se pelas ações realizadas por aqueles que estão sob sua responsabilidade imediata;
II – conscientizar os usuários sob sua supervisão imediata em relação aos conceitos e práticas de SIC;
III – incorporar aos processos de trabalho de sua unidade, ou de sua área, práticas inerentes à SIC;
IV – adotar as medidas administrativas necessárias para que sejam aplicadas ações corretivas nos casos de comprometimento da SIC por parte dos usuários sob sua supervisão imediata;
V – informar à CGRH/SAA a movimentação de pessoal de sua unidade;
VI – realizar o tratamento e a classificação da informação; VII – autorizar, de acordo com a legislação vigente, a divulgação das informações produzidas na sua unidade administrativa;
VIII – comunicar à ETIR os casos de quebra de segurança; e
IX – manter lista atualizada dos ativos de informação sob sua responsabilidade, com seus respectivos gestores.
Art. 55. Cabe aos prestadores de serviço e fornecedores, conforme previsto em contrato:
I – tomar conhecimento desta POSIC e divulgá-la a seus empregados;
II – apresentar termo de compromisso e de ciência da declaração de manutenção do sigilo, assinado por cada profissional, além de comprometer-se a não comentar nenhum assunto tratado nas dependências do MDS ou a serviço deste, salvo se expressamente autorizado por representante legal do MDS;
III – fornecer listas atualizadas de todos os empregados que estejam alocados nas dependências do MDS, ou que transitoriamente ou, ainda, remotamente, tenham acesso a quaisquer recursos da infraestrutura do MDS.
IV – fornecer listas atualizadas da documentação dos ativos, licenças, acordos ou direitos relacionados aos ativos de informação objetos do contrato; e
V – fornecer a documentação dos sistemas, produtos e serviços relacionados às suas atividades.
Art. 56. Cabe aos usuários:
I – conhecer e cumprir esta POSIC, bem como as demais normas e resoluções relacionadas à SIC;
II – observar aos requisitos de controle especificados pelos gestores e custodiantes de ativos de informação; e
III – comunicar os incidentes que afetam a segurança dos ativos de informação à ETIR.
CAPÍTULO VI
DISPOSIÇÕES FINAIS
Art. 57. A POSIC e suas normas complementares devem ser revisadas pelo CSIC sempre que se fizer necessário, de forma que não seja ultrapassado o período de três anos sem revisão.
Art. 58. O CSIC, após a devida revisão, enviará:
I – a POSIC, para aprovação do Ministro de Estado;
II – as Normas Complementares de Segurança da Informação e Comunicações, para aprovação do Secretário Executivo; e
III – os Procedimentos de Segurança da Informação e Comunicações para aprovação do Gestor de Segurança da Informação e Comunicações.
Art. 59. Esta Portaria entra em vigor na data de sua publicação.
TEREZA CAMPELLO
*Este texto não substitui o publicado no DOU.