SAGI | Rede SUAS

PORTARIA MDS Nº 935, DE 30 DE NOVEMBRO DE 2023

PORTARIA MDS Nº 935, DE 30 DE NOVEMBRO DE 2023

Aprova a Política de Segurança da Informação no âmbito do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome.

O MINISTRO DE ESTADO DO DESENVOLVIMENTO E ASSISTÊNCIA SOCIAL, FAMÍLIA E COMBATE À FOME, no uso das atribuições que lhe confere o artigo 87, parágrafo único, inciso II, da Constituição Federal, e considerando o disposto no Decreto nº 9.637, de 26 de dezembro de 2018, alterado pelo Decreto nº 10.641, de 2 de março de 2021, e na Instrução Normativa PR/GSI nº 1, de 27 de maio de 2020, resolve:

Art. 1º Aprovar a Política de Segurança da Informação (POSIN) no âmbito do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome.

Parágrafo único. Esta Política de Segurança da Informação é o documento em que a alta administração do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome declara formalmente o seu comprometimento em prover diretrizes estratégicas, responsabilidades, competências, apoio e recursos necessários à implementação da gestão da segurança da informação e de proteção de dados pessoais no Ministério, conforme a legislação vigente.

CAPÍTULO I

DO ESCOPO

Seção I

Dos objetivos e abrangência

Art. 2º A Política da Segurança da Informação tem como objetivos:

I - instituir as diretrizes estratégicas de Segurança da Informação do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome;

II - instituir a estrutura de Governança e Gestão de Segurança da Informação e Proteção de Dados Pessoais;

III - instituir os papéis, as responsabilidades e as competências quanto ao uso dos ativos de informação e ao compartilhamento de dados, informações e documentos;

IV - fortalecer a proteção dos ativos de informação e os dados pessoais contra a modificação, destruição, acesso ou divulgação não autorizada, garantindo sua confidencialidade, integridade, disponibilidade e autenticidade, considerando os níveis adequados de classificação e tratamento;

V - contribuir para a segurança do indivíduo, da sociedade e do Estado, por meio da orientação das ações de segurança da informação, observados os direitos e as garantias fundamentais;

VI - incorporar ações advindas das atividades de pesquisa científica, de desenvolvimento tecnológico e de inovação relacionadas à segurança da informação;

VII - fomentar a formação e a qualificação dos recursos humanos necessários à área de segurança da informação e de proteção de dados e às Secretarias responsáveis pela gestão de bases de dados nacionais;

VIII - fortalecer a cultura da segurança da informação neste Ministério;

IX - orientar ações relacionadas a:

a) segurança das informações e dados pessoais;

b) segurança da informação das infraestruturas críticas;

c) proteção das informações das pessoas físicas que possam ter sua segurança ou a segurança das suas atividades afetada, observada a legislação específica; e

d) tratamento das informações com restrição de acesso.

X - contribuir para a preservação da memória institucional deste Ministério.

Art. 3º As ações relacionadas à Segurança da Informação e Proteção de Dados Pessoais devem estar em conformidade com a legislação vigente, as normas técnicas pertinentes, os valores éticos e as melhores práticas para garantir a disponibilidade, a integridade, a confidencialidade, a autenticidade, a legalidade e a auditabilidade das informações e dados pessoais produzidos, gerenciados ou custodiados pelo Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome.

Art. 4º As diretrizes definidas neste documento norteiam a Segurança da Informação e comunicações e a proteção dos dados pessoais do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome. A governança, a gestão e a operação da Segurança da Informação devem seguir os princípios que regem a Administração Pública Federal.

Art. 5º Integram a Política de Segurança da Informação as políticas específicas, as normas complementares, os padrões, os procedimentos e as instruções destinados à proteção da informação e dos dados pessoais e à disciplina de sua utilização.

Parágrafo único. A Política de Segurança da Informação e seus documentos complementares devem ser aplicados, no que couber, a todos os ativos de informação e aos dados pessoais geridos ou custodiados pelo Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome.

Art. 6º O Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome deve observar as diretrizes, estrutura, papéis e responsabilidades estabelecidos nesta Política de Segurança da Informação e em seus documentos complementares.

Art. 7º As ações de Segurança da Informação devem considerar, prioritariamente, os objetivos estratégicos, processos, planos institucionais, requisitos legais e a estrutura do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome.

Art. 8º As disposições da Política de Segurança da Informação aplicam-se aos servidores, prestadores de serviço, fornecedores, estagiários, consultores, conselheiros e a quem, de alguma forma, ainda que transitoriamente ou sem remuneração, execute atividades vinculadas ou que tenha acesso às informações ou dados pessoais geridos ou custodiados pelo Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome, nos termos da legislação e dos contratos, acordos e instrumentos firmados.

Parágrafo único. As pessoas a quem se refere o caput devem estar comprometidas com a Segurança da Informação e com a proteção dos dados pessoais conforme legislação vigente.

Art. 9º Os contratos, acordos e outros instrumentos congêneres celebrados pelo Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome devem prever o atendimento das disposições desta Portaria.

Art. 10. A Política de Segurança da Informação aplica-se, no que couber, às relações do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome com outros órgãos públicos e com entidades privadas.

Art. 11. Esta Política de Segurança da Informação e suas Normas Complementares abrangem os aspectos de segurança lógica, física, organizacional e humana.

Art. 12. Este documento alcança todas as pessoas que tenham acesso aos ativos de informação e aos dados pessoais coletados, produzidos, geridos ou custodiados por este Ministério.

Seção II

Dos conceitos e definições

Art. 13. No âmbito da Política de Segurança da Informação e em seus documentos complementares, os conceitos, termos e definições serão descritas no Anexo I - Dicionário de termos e outros conceitos podem ser consultados no Glossário de Segurança da Informação do Departamento de Segurança da Informação do Gabinete Institucional da Presidência da República.

CAPÍTULO II

DOS PRINCÍPIOS

Art. 14. As ações da Segurança da Informação devem obedecer aos princípios constitucionais, administrativos e do arcabouço legislativo vigente que regem a Administração Pública Federal.

Art. 15. Os documentos complementares a esta Política de Segurança da Informação devem nortear-se pelos princípios que regem a Segurança da Informação:

I - necessidade de conhecer;

II - segregação de funções;

III - defesa em camadas;

IV - proteção de dados pessoais;

V - proteção da privacidade;

VI - visão abrangente, sistêmica e integrada da governança e da gestão segurança da informação;

VII - intercâmbio científico e tecnológico relacionado à segurança da informação entre o Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome e os demais órgãos e entidades da administração pública federal;

VIII - educação como alicerce fundamental para o fomento da cultura em segurança da informação;

IX - orientação à gestão de riscos e à gestão da segurança da informação;

X - prevenção e tratamento de incidentes de segurança da informação;

XI - articulação entre as ações de segurança cibernética, de defesa cibernética e de proteção de dados e ativos da informação;

XII - sigilo das informações imprescindíveis à segurança da sociedade e do Estado e a inviolabilidade da intimidade da vida privada, da honra e da imagem das pessoas;

XIII - necessidade de conhecer para o acesso à informação sigilosa, nos termos da legislação;

XIV - cooperação com órgãos de investigação e com as entidades públicas no processo de credenciamento de pessoas para acesso às informações sigilosas;

XV - integração e cooperação entre o Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome, o setor empresarial, a sociedade e as instituições acadêmicas; e

XVI - cooperação internacional, no campo da segurança da informação.

CAPÍTULO III

DAS DIRETRIZES GERAIS

Art. 16. A estrutura de Governança e Gestão de Segurança da Informação deve planejar medidas de proteção aos ativos de informação e balancear os custos na aplicação de controles de medidas preventivas, de acordo com os danos potenciais de falhas de segurança.

Art. 17. O Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome, além das diretrizes estabelecidas nesta Política de Segurança da Informação, deve se orientar pelas melhores práticas e procedimentos de Segurança da Informação recomendados por órgãos e entidades públicas e privadas responsáveis pelo estabelecimento de padrões.

Art. 18. O cumprimento desta política de segurança e de seus documentos correlatos deverá ser avaliado periodicamente por meio de verificações de conformidade a ser realizada por Câmara Técnica Temática relacionada à segurança da informação e proteção de dados, a ser instituída pelo Comitê Interno de Governança (CIGMDS), de acordo com os requisitos de Segurança da Informação e garantia de cláusula de responsabilidade e sigilo.

Art. 19. Devem ser priorizados ações e investimentos com vistas à correta aplicação de mecanismos de proteção, tendo como base as exigências estratégicas e necessidades operacionais prioritárias do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome e as implicações que o nível de segurança poderá trazer ao cumprimento dessas exigências.

Art. 20. A Estrutura de Governança e Gestão de Segurança da Informação do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome deve instituir normas e procedimentos que garantam a adequada governança, gestão, proteção e uso dos ativos de informação e dos dados pessoais do Ministério, em conjunto com as unidades responsáveis pelos respectivos ativos.

Art. 21. Deve-se estabelecer um processo integrado de Gerenciamento de Riscos de Segurança da Informação com o objetivo de direcionar e de controlar o risco de segurança da informação, a fim de adequá-lo aos níveis aceitáveis para o Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome. Esse tema deverá ser detalhado em norma complementar conforme legislação vigente.

Parágrafo único. As ações, procedimentos e normativos de Gestão de Riscos de Segurança da Informação devem estar em consonância com a Política de Gestão de Riscos Institucional do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome, além de considerar, preliminarmente:

I - os processos internos institucionais;

II - os requisitos legais;

III - a política de segurança da informação;

IV - a política de gestão de riscos institucional;

V - a política de privacidade;

VI - os instrumentos de planejamento estratégico;

VII - a estrutura do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome; e

VIII - outras políticas ou regulamentos institucionais, no que couber.

Art. 22. Os estudos, pesquisas, projetos, códigos de sistemas e informações que utilizem dados coletados, geridos ou custodiados pelo Ministério produzidas por servidores, prestadores de serviço, fornecedores, estagiários, consultores e conselheiros, no exercício de suas funções, ainda que transitoriamente ou sem remuneração, nos termos da legislação e dos contratos, acordos e instrumentos firmados, são patrimônio intelectual do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome, na forma da legislação vigente.

Art. 23. A Estrutura de Governança e Gestão de Segurança da Informação deve apoiar e orientar a tomada de decisões institucionais e otimizar investimentos em segurança que visem à eficiência, eficácia e efetividade das atividades de Segurança da Informação e de Proteção de Dados Pessoais.

Art. 24. O modelo de Governança e Gestão de Segurança da Informação do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome deverá ser integrado e suportado pelos subsídios gerados pela Gestão de Riscos, Gestão de Ativos, Gestão de Incidentes, Gestão de Continuidade de Negócio e Gestão de Conformidade, dentre outros, em consonância com o especificado nas diretrizes desta Política de Segurança da Informação.

Art. 25. A Governança e Gestão de Segurança da Informação devem suportar a tomada de decisões, bem como realizar a gestão de conhecimento e de recursos por meio da utilização eficiente e eficaz dos ativos, possibilitando alcançar os objetivos estratégicos do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome, assim como otimizar seus investimentos.

Art. 26. As normas, procedimentos, manuais e metodologias de Segurança da Informação do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome devem considerar, subsidiariamente, normas e padrões aceitos no mercado como referência nos processos de governança e gestão de Segurança da Informação e devem estipular mecanismos que garantam a orientação à conformidade dos controles de Segurança da Informação associados, inclusive sua auditabilidade.

Art. 27. Deve ser estabelecida a integração e sinergia entre as instâncias e estruturas de supervisão e apoio definidas nesta Política de Segurança da Informação e aquelas definidas em outras políticas do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome, por meio de modelos de relacionamento que considerem e compartilhem, quando possível, as competências, responsabilidades, informações e as próprias estruturas.

Art. 28. As violações de segurança da informação e proteção de dados devem ser registradas e tais registros analisados periodicamente para os propósitos de caráter preventivo e corretivo, legais e de auditoria. Com o objetivo de reduzir o risco de fraude, erro e desvio de controles de segurança da informação, o Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome deve determinar quais funções e áreas de responsabilidade precisam ser segregadas, tais como:

I - iniciar, aprovar e executar mudanças;

II - solicitar, aprovar e implementar direitos de acesso;

III - projetar, implementar e revisar códigos;

IV - desenvolvimento de software e administração de sistemas de produção;

V - utilização e administração de aplicações; e

VI - controles de segurança da informação.

CAPÍTULO IV

DAS DIRETRIZES ESPECÍFICAS

Art. 29. Para cada uma das diretrizes constantes das seções deste capítulo devem ser elaboradas, no que couber, normas complementares à esta Política de Segurança da Informação, padrões, manuais, metodologias e procedimentos.

Seção I

Dos recursos humanos

Art. 30. Os usuários de informação devem ter ciência:

I - das ameaças e preocupações relativas à Segurança da Informação; e

II - de suas responsabilidades e obrigações no âmbito desta Política de Segurança da Informação.

Art. 31. A Política de Segurança da Informação e suas normas complementares devem ser divulgadas e acessíveis para todos os usuários, devendo esses ter ciência e praticar as diretrizes e boas práticas de Segurança da Informação.

Parágrafo único. Todos os usuários devem assinar o Termo de Responsabilidade e Sigilo - Anexo II quanto a Política de Segurança da Informação e suas normas complementares.

Art. 32. Todos os usuários devem difundir e exigir o cumprimento da Política de Segurança da Informação, das normas de segurança e da legislação vigente acerca do tema.

Art. 33. Devem ser estabelecidos em norma complementar, pela estrutura de Governança e de Gestão de Segurança da Informação, processos permanentes de conscientização, capacitação e sensibilização em segurança da informação e em proteção de dados, que alcancem todos os usuários do Ministério, de acordo com suas competências funcionais.

Parágrafo único. É dever de todos os usuários de informação do Ministério realizar, minimamente, os cursos de fundamentos em segurança da informação e em proteção de dados disponíveis nas escolas de governo.

Art. 34. Devem ser implementadas medidas de segurança relacionadas ao trabalho remoto para proteger as informações acessadas, processadas ou armazenadas fora das instalações do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome.

Seção II

Da gestão dos ativos de informação

Art. 35. A estrutura de Gestão de Segurança da Informação deve definir um processo de Mapeamento dos Ativos de Informação e de Dados Pessoais conforme legislação vigente.

Art. 36. Os ativos de informação fornecidos pelo Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome, tais como e-mail, computador, notebook, dentre outros, são de uso corporativo, para os fins a que se destinam e no interesse da administração, sendo considerada imprópria a utilização desses ativos para propósitos não profissionais ou não autorizados.

Art. 37. O acesso dos usuários aos ativos de informação, bem como aos dados pessoais e sua utilização, quando autorizados, deve ser condicionado ao aceite do Termo de Responsabilidade e Sigilo - Anexo II.

Art. 38. Os ativos de informação do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome, tais como e-mail, internet, intranet, VPN, computadores, sistemas e informações são passíveis de monitoramento e deve ter seu uso investigado, quando houver indícios de quebra de segurança, por meio de mecanismos que permitam a rastreabilidade do uso desses ativos.

Art. 39. A Estrutura de Governança e Gestão de Segurança da Informação do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome deve instituir normas e procedimentos que garantam a adequada gestão dos ativos de informação do Ministério, que incluam o fornecimento, uso e devolução dos ativos, em conjunto com as unidades responsáveis pelos respectivos ativos.

Art. 40. Ações e controles específicos de segurança deverão garantir a proteção adequada dos ativos de informação do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome, em níveis compatíveis ao seu grau de importância para a consecução das atividades e objetivos estratégicos do órgão.

Art. 41. Os ativos de informação e os dados pessoais devem ser associados a controles de segurança implementados independentemente do meio em que se encontram, devendo ser protegidos contra divulgação, modificações, remoção ou destruição não autorizadas.

Art. 42. Os gestores dos ativos informação devem estabelecer regras e mecanismos de Segurança da Informação que visem à manutenção de uma base de conhecimento sobre as informações compartilhadas no Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome, observadas as normas de Segurança da Informação e de proteção de dados pessoais e a legislação pertinente.

Art. 43. Devem ser definidas regras para o uso aceitável dos ativos de informação e procedimentos para o manuseio de informações e dos dados pessoais devem ser identificados, documentados e implementados.

Art. 44. As pessoas e usuários externos que usem ou tenham acesso às informações ou dados pessoais e outros ativos associados geridos ou custodiados pelo Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome devem estar cientes dos requisitos de segurança da informação para proteger e lidar com as informações, dados pessoais e outros ativos associados.

Art. 45. Deve ser formalizado um processo de devolução de todos os ativos físicos e eletrônicos previamente emitidos de propriedade ou confiados ao Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome.

Art. 46. Nos casos de uso de equipamentos pessoais, devem ser estabelecidos e seguidos procedimentos para assegurar que todas as informações relevantes sejam rastreadas e transferidas para o Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome e excluídas com segurança do equipamento.

Art. 47. As atividades operacionais de Tecnologia da Informação do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome devem ser documentadas e devem compor uma base de conhecimento das operações realizadas por servidores, contratados e prestadores de serviços do Ministério.

Seção III

Da classificação e do tratamento da informação e dos dados pessoais

Art. 48. O Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome deve criar, gerir e avaliar critérios de tratamento e classificação da informação e dos dados pessoais de acordo com o sigilo requerido, relevância, criticidade e sensibilidade, observando a legislação em vigor.

Art. 49. Toda informação institucional deste Ministério em qualquer suporte, materiais, áreas, comunicações e sistemas de informação institucionais, é patrimônio do Estado brasileiro e deve ser tratada nos termos da legislação pertinente em vigência.

Art. 50. O tratamento da informação e dos dados pessoais ao longo de seu ciclo de vida deve ser realizado de modo ético e responsável pelos agentes e servidores públicos deste Ministério.

Art. 51. O tratamento da informação e dos dados pessoais deve ser feito conforme a legislação vigente e as boas práticas, assegurando-se os requisitos da disponibilidade, da integridade, da confidencialidade e da autenticidade da informação e dos dados pessoais em todo seu ciclo de vida.

Art. 52. As informações e dados pessoais armazenados em sistemas de informação, dispositivos ou em qualquer outra mídia de armazenamento devem ser excluídas quando não forem mais necessárias, com o objetivo de reduzir os riscos da exposição desnecessária de informações confidenciais e dos dados pessoais geridos e custodiados pelo Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome.

Seção IV

Dos controles de acesso

Art. 53. O controle de acesso aos ativos de informação e aos dados pessoais e o acesso às informações em áreas e instalações consideradas críticas devem ser implantados nos níveis físico e lógico e serão definidos em norma específica, em conformidade com as diretrizes desta Política de Segurança da Informação.

Art. 54. A estrutura de Segurança da Informação deve estabelecer e implementar um processo de gerenciamento de identidades com regras específicas de acesso aos ativos de informação, em conformidade com a legislação vigente, e em especial quanto ao acesso às informações em áreas e instalações consideradas críticas, bem como aos dados pessoais.

Parágrafo único. Deve ser gerenciado o ciclo de vida completo das identidades para permitir a identificação única de indivíduos e sistemas que acessam os ativos de informação do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome e para permitir a cessão adequada de direitos de acesso.

Art. 55. O acesso às informações e aos recursos de processamento da informação devem ser limitados, formalmente autorizados, com regras específicas de aprovação, provisionamento, revisão, ajuste e remoção, tendo como base papéis e responsabilidades, estrutura da instituição e obedecendo a legislação em vigor.

Parágrafo Único. Devem ser implementados, em conformidade com a legislação vigente, sempre que necessário, controles de mascaramento de dados, pseudônimo ou anonimização, com o objetivo de limitar a exposição de dados confidenciais, incluindo informações pessoalmente identificáveis.

Art. 56. É responsabilidade do setor de Gestão de Pessoas disponibilizar os registros de todas as movimentações de pessoal ocorridas, na forma definida por norma complementar.

Seção V

Da criptografia

Art. 57. Deve ser utilizada Algoritmo de Estado no tratamento ou na transferência de informações sensíveis, sigilosas, classificadas e de dados pessoais ou de informações que possam comprometer a segurança do Estado e da Sociedade, conforme a legislação vigente.

Seção VI

Da segurança física e do ambiente

Art. 58. A Estrutura de Governança e Gestão de Segurança da Informação deve definir e implementar, em conjunto com a Segurança Patrimonial, controles de Segurança da Informação que impeçam perdas, danos, furtos ou comprometimento dos ativos de informação e dos dados pessoais ou interrupção das operações deste Ministério.

Seção VII

Da segurança nas operações

Art. 59. Os procedimentos operacionais devem ser documentados e disponibilizados para os usuários, para a correta e segura operação dos ativos de informação.

Art. 60. Procedimentos de gestão de capacidade devem ser realizados pela área responsável pela Tecnologia da Informação (TI) para que a utilização dos ativos de informação seja monitorada e ajustada, e que as projeções sejam feitas para necessidades futuras, garantindo o desempenho necessário dos ativos de informação.

Art. 61. Os ambientes de desenvolvimento, teste e produção de software devem ser segregados para reduzir riscos de acessos ou modificações indevidos ou não autorizados no ambiente de produção.

Art. 62. É responsabilidade da Subsecretaria de Tecnologia da Informação a implementação de controles de detecção, prevenção e recuperação nos ativos de informação contra códigos maliciosos, combinando com um programa adequado de conscientização dos usuários do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome.

Art. 63. Todos os registros de eventos (logs) dos ativos de informação, das atividades (de usuários, operadores e administradores de ativos), exceções, falhas e eventos/incidentes de Segurança da Informação devem ser produzidos, mantidos e analisados criticamente de forma planejada e quando houver quebra de segurança nos ativos de informação ou dos dados pessoais.

Art. 64. Devem ser implementados controles de Segurança da Informação nos registros de eventos (logs) que permitam trilhas de auditoria e que possam reduzir os riscos de acessos e adulterações indevidos.

Art. 65. A Estrutura de Governança e Gestão em Segurança da Informação deve estabelecer parâmetros adequados, relacionados à Segurança da Informação, para a disponibilização dos serviços, sistemas e infraestrutura que os apoiam, de forma que atendam aos requisitos mínimos de qualidade e reflitam as necessidades operacionais do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome. Os acordos de nível de serviço devem ser compatíveis com padrões de mercado e com os requisitos de segurança da informação.

Seção VIII

Da gestão de mudanças

Art. 66. Um processo de Gestão de Mudanças deve ser implementado para que as mudanças realizadas nos ativos de informação sejam planejadas e controladas.

Parágrafo único. O processo de gestão de mudanças de segurança da informação tem por objetivo preparar e adaptar o Ministério para as mudanças decorrentes da evolução de processos e de tecnologias da informação, visando à obtenção de mudanças eficazes e eficientes e à mitigação de eventuais resistências.

Seção IX

Da segurança nas comunicações

Art. 67. Devem ser implementados controles de Segurança da Informação para proteger as informações e os dados pessoais em todo seu ciclo de vida bem como os recursos de rede e de tratamento dessas informações e dados.

Art. 68. Devem ser definidos e implementados normas, procedimentos e controles de segurança adequados para a transferência das informações e dos dados pessoais com quaisquer entidades externas de acordo com a classificação, criticidade e sensibilidade e em conformidade com a legislação pertinente.

Seção X

Da aquisição, desenvolvimento e manutenção de sistemas

Art. 69. A Segurança da Informação deve ser projetada e implementada em todo o ciclo de desenvolvimento e manutenção de sistemas de informação, seguindo os princípios e metodologia de desenvolvimento seguro.

Seção XI

Da segurança da informação para uso de serviços em nuvem

Art. 70. Devem ser estabelecidos processos para aquisição, uso, gerenciamento e saída de serviços em nuvem em conformidade com os requisitos de segurança da informação do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome.

Seção XII

Dos fornecedores e prestadores de serviço

Art. 71. Devem ser definidos e implementados processos e procedimentos para gerenciar a segurança da informação e os riscos associados ao uso dos produtos e serviços prestados por fornecedores, inclusive os prestadores de serviço em nuvem, para reduzir os riscos relacionados ao acesso de terceiros aos ativos de informação e aos dados pessoais geridos, custodiados ou tratados neste Ministério.

Art. 72. Tais processos e procedimentos devem incluir aqueles a serem implementados pelo Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome, bem como aqueles que o Ministério exige que o fornecedor implemente no início ou no término do contrato.

Art. 73. Os contratos, convênios ou instrumentos congêneres devem ser estabelecidos e documentados para assegurar que haja um entendimento claro entre o Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome e o fornecedor ou prestador de serviço sobre as obrigações de ambas as partes de cumprir com os requisitos relevantes de segurança da informação.

Art. 74. O Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome deve estabelecer e manter acordos de compartilhamento de informações nos contratos, convênios e instrumentos congêneres, bem como analisar criticamente, validar e atualizar regularmente esses acordos para assegurar que ainda sejam necessários e adequados para o propósito pelos quais foram estabelecidos.

Art. 75. O Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome deve monitorar, analisar criticamente, avaliar e gerenciar regularmente a mudança nas práticas de segurança da informação nos contratos, convênios e instrumentos congêneres.

Art. 76. Os fornecedores e prestadores de serviço devem ser submetidos à legislação brasileira.

Art. 77. Todas as contratações devem prever requisitos de Segurança da Informação e proteção dos dados pessoais e dos ativos de informação. As áreas de negócio devem alinhar os requisitos necessários com as equipes de Segurança da Informação do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome.

Art. 78. Cabe aos prestadores de serviço e fornecedores, conforme previsto em contrato:

I - tomar conhecimento desta Política de Segurança da Informação e divulgá-la a seus empregados;

II - apresentar termo de compromisso e de ciência da declaração de manutenção do sigilo, assinado por cada profissional, além de comprometer-se a manter sigilo sobre as informações e dados pessoais a que tiver acesso;

III - fornecer listas atualizadas de todos os empregados que estejam alocados nas dependências do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome, ou que transitoriamente ou, ainda, remotamente, tenham acesso a quaisquer ativos de informação do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome;

IV - fornecer listas atualizadas da documentação dos ativos, licenças, acordos ou direitos relacionados aos ativos de informação objetos do contrato; e

V - fornecer a documentação dos sistemas, produtos e serviços relacionados às suas atividades.

Art. 79. Nos casos de obtenção de informações de terceiros, o gestor da área na qual a informação será utilizada deve, se necessário, providenciar junto ao cedente a documentação formal relativa à cessão de direitos sobre informações de terceiros antes de seu uso.

Art. 80. Os acordos com terceiros podem também envolver outras partes.

Parágrafo único. Os acordos que concedam o acesso a terceiros podem incluir, quando necessário e justificado, permissão para designação de outras partes autorizadas e condições para os seus acessos desde que expressamente autorizadas pelo Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome.

Art. 81. Todos os contratos, convênios, acordos e instrumentos congêneres devem conter cláusulas que estabeleçam a obrigatoriedade de observância desta Política de Segurança da Informação e suas normas complementares.

Art. 82. O contrato, convênio, acordo ou instrumento congênere deverá prever a obrigação da outra parte de divulgar esta Política de Segurança da Informação e suas normas complementares aos seus empregados e prepostos envolvidos em atividades no Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome.

Art. 83. Um plano de contingência deve ser elaborado no caso de uma das partes desejar encerrar a relação antes do final do acordo.

Art. 84. Esta Política de Segurança da Informação deverá ser considerada como subsídio essencial para confecção do processo de aquisição de ativos de tecnologia de informação. Cabe aos fornecedores e prestadores de serviços a submissão à legislação vigente de segurança da informação e proteção de dados.

Art. 85. Os prestadores de serviços ou fornecedores devem reportar os incidentes de segurança da informação e de proteção de dados tempestivamente ao Gestor de Segurança da Informação, à Equipe de Tratamento e Resposta a Incidentes Cibernéticos (ETIR) do Ministério e aos responsáveis pelas unidades finalísticas para conhecimento e providências cabíveis.

Seção XIII

Da gestão de incidentes de segurança da informação

Art. 86. Deve-se instituir metodologia e norma que estabeleçam um processo de gestão de incidentes de Segurança da Informação que seja consistente e efetivo e que permita respostas rápidas, efetivas e ordenadas aos incidentes de Segurança da Informação, incluindo a comunicação sobre fragilidades e eventos relacionados.

Art. 87. Será mantida a Equipe de Tratamento e Resposta a Incidentes Cibernéticos (ETIR), com a responsabilidade de receber, analisar e responder notificações e atividades relacionadas a incidentes de segurança da informação.

Art. 88. Os membros da ETIR devem ter perfil técnico adequado às funções de tratamento de incidentes em redes computacionais.

Art. 89. A ETIR deve observar as normas técnicas e orientações, bem como manter um canal de comunicação com o Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo.

Art. 90. O conhecimento adquirido sobre os incidentes de segurança da informação deve ser usado para fortalecer e melhorar os controles de segurança da informação do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome e para reduzir a probabilidade ou as consequências de futuros incidentes.

Seção XIV

Da gestão de continuidade dos serviços

Art. 91. Uma gestão de continuidade dos serviços deve ser adotada, mantida e periodicamente testada, a fim de minimizar as chances de uma interrupção ou impacto causado por incidentes e desastres nos ativos de informação e nos dados pessoais, que suportam os processos vitais do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome, até que se retorne à normalidade.

Art. 92. Os ativos de informação que suportam processos, funções ou operações críticas do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome, devem assegurar a capacidade de recuperação, os prazos e as condições definidas em situações de adversas ou em casos de incidentes de segurança da informação.

Art. 93. O Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome deve coletar informações de ataques atuais ou potenciais que possam impactar os ativos de informação ou as políticas públicas do Ministério. As informações devem ser analisadas, refinadas e organizadas para minimizar os impactos e mitigar os riscos de segurança cibernética.

Seção XV

Da segurança da informação na gestão de projetos

Art. 94. A segurança da informação deve ser integrada à gestão de projetos do Ministério para assegurar que os riscos de segurança da informação sejam abordados como parte da gestão do projeto.

Seção XVI

Da transferência das informações

Art. 95. Regras, procedimentos ou acordos de transferência de informações devem ser definidos e implementados para todos os tipos de transferência dentro do Ministério e entre o Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome e outras partes externas interessadas.

Art. 96. As regras, procedimentos e acordos para proteger informações em trânsito devem refletir a classificação das informações envolvidas. Devem ser estabelecidos e mantidos acordos de transferência (incluindo a autenticação do destinatário) para proteger as informações em todas as formas em trânsito entre o Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome e terceiros.

Seção XVII

Da auditoria e conformidade

Art. 97. Todos os requisitos legais, estatutários, regulamentares e contratuais relevantes para a segurança da informação e para a proteção de dados pessoais devem ser identificados, documentados, mantidos e implementados pelo Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome.

Art. 98. Procedimentos apropriados devem ser implementados para garantir a conformidade com as normas legais, estatutárias e requisitos contratuais relacionados a direitos de propriedade intelectual e uso de produtos de softwares proprietários.

Art. 99. Deve ser realizada a avaliação de conformidade nos aspectos de segurança da informação que proporcione adequado grau de confiança a um determinado processo, mediante o atendimento de requisitos definidos em políticas, procedimentos, normas ou em regulamentos técnicos aplicáveis.

Art. 100. O fornecedor ou prestador de serviço pode ser convocado em caso de incidentes de segurança da informação para responder questões relacionadas à auditoria.

CAPÍTULO V

DA ESTRUTURA DE GOVERNANÇA E GESTÃO DE SEGURANÇA DA INFORMAÇÃO E DE PROTEÇÃO DE DADOS, SUAS COMPETÊNCIAS E RESPONSABILIDADES

Art. 101. A Segurança da Informação é disciplina fundamental da boa governança corporativa, sendo de responsabilidade da alta administração do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome.

Art. 102. Para assessorar o Ministro de Estado do Desenvolvimento e Assistência Social, Família e Combate à Fome nas atividades de definição e implementação de diretrizes, políticas, normas e procedimentos relativos à Segurança da Informação, fica instituída a Estrutura de Governança e Gestão de Segurança da Informação do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome, com atribuições definidas nesta Política de Segurança da Informação.

Art. 103. A Estrutura de Governança e Gestão de Segurança da Informação do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome deve ser capaz de apoiar os diversos níveis hierárquicos do Ministério e seus órgãos no objetivo de integrar os controles e processos de Segurança da Informação e aos processos organizacionais existentes.

Parágrafo único. A participação na referida estrutura e eventuais grupos de trabalho associados não enseja remuneração de qualquer espécie ou quaisquer criações de cargos além daqueles já existentes na estrutura regimental do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome, sendo considerada serviço público relevante.

Art. 104. A Estrutura de Governança e Gestão de Segurança da Informação do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome será composta:

I - pelo Comitê Interno de Governança do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome;

II - pelo Comitê de Governança Digital;

III - pelas Câmaras Técnicas Temáticas;

IV - pelo Gestor de Segurança da Informação do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome;

V - pela Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos - ETIR;

VI - pelos gestores de ativos de informação;

VII - pelo agente responsável pela ETIR;

VIII - pelo agente responsável pela gestão de continuidade de negócios;

IX - pelo agente responsável pela gestão de mudança;

X - pelo agente responsável pelo mapeamento dos ativos de informação; e

XI - pelo agente responsável pela gestão de riscos.

§ 1º O Gestor de segurança da informação do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome será convidado a participar das reuniões em que constarem da pauta os temas relacionados à Gestão de Riscos, Tecnologia da Informação, Segurança da Informação e à Proteção de Dados Pessoais.

§ 2º As atribuições relacionadas ao Comitê Interno de Governança, ao Comitês de Governança Digital e às Câmaras Técnicas estão dispostas nos normativos internos relacionados à governança institucional do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome.

§ 3º As atribuições dos agentes responsáveis estão definidas na legislação vigente de segurança da informação da Secretaria de Segurança da Informação e Cibernética do Gabinete de Segurança Institucional da Presidência da República (SSIC/GSI/PR).

Art. 105. O gestor de segurança da informação do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome, será nomeado pelo Ministro de Estado do Desenvolvimento e Assistência Social, Família e Combate à Fome, conforme legislação em vigor, e terá as seguintes atribuições:

I - acompanhar as investigações e as avaliações dos danos decorrentes de quebras de segurança da informação e dados pessoais;

II - propor recursos necessários às ações de segurança da informação;

III - participar das reuniões do Comitê Interno de Governança e do Comitê de Governança Digital quando se tratar de assuntos relacionados à segurança da informação e à proteção de dados;

IV - realizar e acompanhar estudos e novas tecnologias, no tocante a possíveis impactos na segurança da informação e na proteção de dados pessoais;

V - representar o Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome no Comitê Gestor de Segurança da Informação do Departamento de Segurança da Informação do Gabinete de Segurança Institucional da Presidência da República;

VI - manter contato direto com o Departamento de Segurança da Informação do Gabinete de Segurança Institucional da Presidência da República;

VII - manter contato direto com a Agência Nacional de Proteção de Dados Pessoais, juntamente com o Encarregado da Lei Geral de Proteção de Dados Pessoais - LGPD, em casos de incidentes de segurança cibernética que possam comprometer os dados pessoais geridos e custodiados pelo Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome;

VIII - propor normas relativas à Segurança da Informação; e

IX - acompanhar e monitorar as atividades das câmaras técnicas de segurança da informação, de proteção de dados e tecnologia da informação.

Art. 106. Os gestores de segurança da informação e proteção de dados das Unidades Administrativas do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome, terão as seguintes atribuições:

I - implementar os controles de segurança da informação definidos nesta Política de Segurança da Informação e em seus documentos complementares, nos ativos de informação e nos dados pessoais sob sua responsabilidade;

II - recolher e consolidar as evidências da implementação dos controles de segurança da informação nos ativos de informação e nos dados pessoais sob sua responsabilidade e apresentá-las ao Comitê;

III - elaborar relatório de monitoramento das atividades e processos de gestão de segurança da informação e de proteção de dados pessoais;

IV - estimar a necessidade de treinamento em segurança da informação e proteção de dados pessoais; e

V - orientar os funcionários e os contratados sob sua responsabilidade a respeito das práticas a serem tomadas em relação à segurança da informação e à proteção de dados pessoais.

Art. 107. Cabe ao Gestor de Ativo de Informação:

I - garantir a segurança dos ativos de informação sob sua responsabilidade;

II - definir e gerir os requisitos de segurança para os ativos de informação sob sua responsabilidade, em conformidade com esta Política de Segurança da Informação e com seus documentos complementares;

III - conceder e revogar acessos aos ativos de informação;

IV - comunicar à ETIR a ocorrência de incidentes de Segurança da Informação e de proteção de dados;

V - designar os custodiantes dos ativos de informação, quando aplicável;

VI - manter registro das operações de tratamento de dados pessoais que realizarem; e

VII - manter o inventário e mapeamento dos ativos de informação sob sua responsabilidade.

Parágrafo único. O gestor de ativo da informação pode ser equiparado ao controlador conforme disposto na Lei Geral de Proteção de Dados Pessoais em vigor.

Art. 108. Cabe ao custodiante do ativo de informação proteger e manter as informações, bem como controlar o acesso, conforme requisitos definidos pelo gestor de ativo de informação e dos dados pessoais e em conformidade com esta Política de Segurança da Informação e seus documentos complementares.

Parágrafo único. O custodiante do ativo da informação pode ser equiparado ao operador descrito na Lei Geral de Proteção de Dados Pessoais em vigor.

Art. 109. Cabe ao titular das unidades administrativas:

I - corresponsabilizar-se pelas ações realizadas por aqueles que estão sob sua responsabilidade;

II - incorporar e manter aos processos de trabalho de sua unidade, ou de sua área, práticas inerentes à Segurança da Informação;

III - tomar as medidas administrativas necessárias para que sejam aplicadas ações corretivas nos casos de violações da Segurança da Informação por parte dos usuários sob sua supervisão;

IV - informar à área de Gestão de Pessoas deste Ministério sobre a movimentação de pessoal de sua unidade; e

V - comunicar à ETIR a ocorrência de incidentes de Segurança da Informação e de proteção de dados.

Art. 110. Cabe aos terceiros e fornecedores:

I - tomar conhecimento desta Política de Segurança da Informação;

II - fornecer listas atualizadas da documentação dos ativos, licenças, acordos ou direitos relacionados aos ativos de informação objetos do contrato;

III - fornecer toda a documentação dos sistemas, produtos, serviços relacionados às suas atividades;

IV - adotar medidas de segurança, técnicas e administrativas aptas a proteger os ativos de informação e os dados pessoais, sob sua custódia, de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, conforme legislação em vigor;

V - manter registro das operações de tratamento de dados pessoais que realizarem; e

VI - assinar o Termo de Responsabilidade e Sigilo - Anexo II.

Art. 111. Cabe aos usuários:

I - conhecer e cumprir todos os princípios, diretrizes e responsabilidades desta Política de Segurança da Informação, bem como os demais normativos e resoluções relacionados à Segurança da Informação e proteção de dados pessoais;

II - assinar o Termo de Responsabilidade e Sigilo - Anexo II;

III - obedecer aos requisitos de controle de segurança da informação especificados pelos gestores e custodiantes dos ativos de informação; e

IV - comunicar à ETIR a ocorrência de incidentes de Segurança da Informação e de proteção de dados.

Art. 112. O funcionamento e composição da câmara técnica de Segurança da Informação e de Proteção de Dados serão regulados por regimentos internos, que deverão ser definidos e aprovados em reunião do Comitê Interno de Governança do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome.

CAPÍTULO VI

DAS PENALIDADES

Art. 113. Ações que violem a Política de Segurança da Informação ou que quebrem os controles de Segurança da Informação e de proteção de dados pessoais serão devidamente apuradas e aos responsáveis serão aplicadas as sanções penais, administrativas e civis em vigor.

CAPÍTULO VII

DAS VEDAÇÕES

Art. 114. É vedado comprometer a disponibilidade, a integridade, a confidencialidade, a autenticidade dos ativos de informação e dados pessoais geridos, custodiados ou tratados pelo Ministério.

Art. 115. É vedada a divulgação de informações produzidas por usuários e terceiros para uso exclusivo do Ministério, em quaisquer outros projetos ou atividades de uso diverso daquele estabelecido pelo Ministério.

Art. 116. Os ativos de informação devem ser utilizados estritamente dentro do seu propósito, sendo vedado seu uso para fins indevidos.

§ 1º Serão considerados para fins indevidos, dentre outros:

a) cometer fraudes;

b) invadir os ativos de informação;

c) utilizar os ativos de informação para fins particulares ou de terceiros;

d) utilizar jogos;

e) realizar downloads, instalar e usar sistemas não homologados ou não autorizados pelo Ministério;

f) realizar acessos não autorizados;

g) fazer uso de personificação;

h) utilizar de falsa identidade;

i) obter senhas e dados privativos;

j) realizar perseguição;

k) realizar ameaças;

l) distribuir códigos maliciosos;

m) acessar, guardar e disseminar material não ético, ofensivo, difamatório, discriminatório, preconceituoso, malicioso, obsceno, ilegal ou atentatório à moral e aos bons costumes;

n) instalar softwares piratas;

o) utilizar práticas em desacordo com o Código de Conduta Ética do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome; e

p) disseminar conteúdos ilegais de incitação à violência, que não respeitem os direitos autorais ou objetivos comerciais particulares.

CAPÍTULO VIII

DO PLANO DE INVESTIMENTOS EM SEGURANÇA DA INFORMAÇÃO DO MINISTÉRIO DO DESENVOLVIMENTO E ASSISTÊNCIA SOCIAL, FAMÍLIA E COMBATE À FOME

Art. 117. Os investimentos em Segurança da Informação serão realizados de forma planejada e consolidados por meio de um plano de investimentos.

Art. 118. O plano de investimentos será elaborado com base na priorização dos riscos a serem tratados e será obtido a partir da aplicação de método que considere, no mínimo, a probabilidade e o impacto do risco.

Art. 119. O plano de investimentos, assim como a correspondente proposta orçamentária, será aprovado pelo Comitê Interno de Governança do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome, mediante recomendação elaborada pela Estrutura de Governança e Gestão de Segurança da Informação.

Art. 120. Caso a dotação concedida na Lei Orçamentária Anual (LOA) seja inferior à solicitada na proposta orçamentária, ou haja limitação na execução orçamentária, caberá ao Comitê Interno de Governança deste Ministério realizar a correspondente revisão do plano de investimentos.

CAPÍTULO IX

DA POLÍTICA DE ATUALIZAÇÃO

Art. 121. A periodicidade máxima para a revisão da Política de Segurança da Informação e dos respectivos instrumentos normativos não deve exceder 4 (quatro) anos.

CAPÍTULO X

DAS DISPOSIÇÕES FINAIS

Art. 122. A Política de Segurança da Informação e os documentos dela derivados devem ser revisados sempre que mudanças significativas na estrutura do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome ocorrerem ou quando alterações em normas e outras políticas forem aprovadas, ou ainda periodicamente, conforme legislação vigente, sendo atualizados quando necessário.

Art. 123. A Política de Segurança da Informação, as normas complementares e os procedimentos de Segurança da Informação a ela associados deverão ser amplamente divulgados.

Art. 124. Exceções à Política de Segurança da Informação devem sempre ser documentadas e ter aprovação do Gestor de Segurança da Informação.

Art. 125. O Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome deve considerar as diretrizes do Governo Federal, representado pelo Gabinete de Segurança Institucional da Presidência da República, que recomenda a implantação no âmbito de cada órgão da Administração Pública Federal, de processos e de metodologias de Segurança da Informação, bem como leis, normas, recomendações que regem o tratamento de informações, dados pessoais, processos, pessoas e tecnologias.

Art. 126. Fica instituído o Sistema de Gestão de Segurança da Informação, composto por políticas, procedimentos, diretrizes, recursos e atividades associados, de forma a proteger os ativos de informação do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome.

CAPÍTULO XI

DAS REFERÊNCIAS LEGAIS E NORMATIVAS

Art. 127. A Política de Segurança da Informação está em consonância, entre outros, com os seguintes atos normativos:

I - Lei nº 8.112, de 11 de dezembro de 1990, que dispõe sobre o regime jurídico dos servidores públicos civis da União, das autarquias e das fundações públicas federais;

II - Lei nº 8.159, de 8 de janeiro de 1991, que dispõe sobre a Política Nacional de Arquivos Públicos e Privados e dá outras providências;

III - Lei nº 12.527, de 18 de novembro de 2011, que regulamenta o acesso às informações públicas;

IV - Lei nº 12.965, de 23 de abril de 2014, que estabelece princípios, garantias, direitos e deveres para uso da Internet no Brasil;

V - Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais;

VI - Lei nº 13.853, de 8 de julho de 2019, que altera a Lei nº 13.709, de 14 de agosto de 2018, para dispor sobre a proteção de dados pessoais e para criar a Autoridade Nacional de Proteção de Dados; e dá outras providências;

VII - Decreto nº 1.171, de 22 de junho de 1994, que aprova o Código de Ética Profissional do Servidor Público Civil do Poder Executivo Federal;

VIII - Decreto nº 4.073, de 3 de janeiro de 2002, que regulamenta a Lei nº 8.159, de 8 de janeiro de 1991, que dispõe sobre a política nacional de arquivos públicos e privados;

IX - Decreto nº 7.579, de 11 de outubro de 2011, que dispõe sobre o Sistema de Administração dos Recursos de Tecnologia da Informação SISP, do Poder Executivo Federal;

X - Decreto nº 7.724, de 16 de maio de 2012, que regulamenta a Lei nº 12.527 de 18 de novembro de 2011;

XI - Decreto nº 7.845, de 14 de novembro de 2012, que regulamenta procedimentos para credenciamento de segurança e tratamento de informação classificada em qualquer grau de sigilo, e dispõe sobre o Núcleo de Segurança e Credenciamento;

XII - Decreto nº 9.637, de 26 de dezembro de 2018, que institui a Política Nacional de Segurança da Informação nos órgãos e entidades da Administração Pública Federal;

XIII - Decreto nº 10.222, de 5 de fevereiro de 2020, que aprova a Estratégia Nacional de Segurança Cibernética - E-Ciber é orientação manifesta do Governo federal à sociedade brasileira sobre as principais ações por ele pretendidas, em termos . nacionais e internacionais, na área da segurança cibernética e terá validade no quadriênio 2020-2023;

XIV - Decreto nº 10.332, de 28 de abril de 2020, que institui a Estratégia de Governo Digital para o período de 2020 a 2023, no âmbito dos órgãos e das entidades da administração pública federal direta, autárquica e fundacional e dá outras providências;

XV - Decreto nº 10.641, de 2 de março de 2021, que altera o Decreto nº 9.637, de 26 de dezembro de 2018, que institui a Política Nacional de Segurança da Informação, dispõe sobre a governança da segurança da informação, e altera o Decreto nº 2.295, de 4 de agosto de 1997, que regulamenta o disposto no artigo 24, caput, inciso IX, da Lei nº 8.666, de 21 de junho de 1993, e dispõe sobre a dispensa de licitação nos casos que possam comprometer a segurança nacional;

XVI - Decreto nº 10.748, de 16 de Julho de 2021, que institui a Rede Federal de Gestão de Incidentes Cibernéticos;

XVII - Decreto nº 11.529, de 16 de maio de 2023, que institui o Sistema de Integridade, Transparência e Acesso à Informação da Administração Pública Federal e a Política de Transparência e Acesso à Informação da Administração Pública Federal;

XVII - Portaria GSI/PR nº 93, de 18 de outubro de 2021, que aprova o Glossário de Segurança da Informação;

XIX - Portaria GSI/PR nº 120, de 21 de dezembro de 2022, que aprova o Plano de Gestão de Incidentes Cibernéticos para a administração pública federal;

XX - Instrução Normativa GSI nº 1 - 27 de maio de 2020, que dispõe sobre a Estrutura de Gestão da Segurança da Informação nos órgãos e nas entidades da administração pública federal;

XXI - Instrução Normativa GSI nº 2 - 24 de julho de 2020, que altera a Instrução Normativa nº 1, de 27 de maio de 2020, que dispõe sobre a Estrutura de Gestão da Segurança da Informação nos órgãos e nas entidades da administração pública federal;

XXII - Instrução Normativa GSI/PR nº 2, de 5 de fevereiro de 2013, que dispõe sobre o credenciamento de segurança para o tratamento de informação classificada, em qualquer grau de sigilo, no âmbito do Poder Executivo Federal;

XXIII - Instrução Normativa GSI/PR nº 3, de 28 de maio de 2021, que dispõe sobre os processos relacionados à gestão de segurança da informação nos órgãos e nas entidades da administração pública federal;

XXIV - Instrução Normativa GSI nº 3, de 6 de março de 2013, que dispõe sobre os parâmetros e padrões mínimos dos recursos criptográficos baseados em algoritmos de Estado para criptografia da informação classificada no âmbito do Poder Executivo Federal;

XXV - Instrução Normativa GSI nº 4, de 26 de março de 2020, que dispõe sobre os requisitos mínimos de Segurança Cibernética que devem ser adotados no estabelecimento das redes 5G;

XXVI - Instrução Normativa GSI nº 5, de 30 de agosto de 2021, que dispõe sobre os requisitos mínimos de segurança da informação para utilização de soluções de computação em nuvem pelos órgãos e pelas entidades da administração pública federal;

XXVII - Instrução Normativa GSI nº 6, de 23 de dezembro de 2021, que estabelece diretrizes de segurança da informação para o uso seguro de mídias sociais nos órgãos e nas entidades da administração pública federal;

XXVIII - Instrução Normativa GSI nº 7, de 29 de novembro de 2022, que altera a Instrução Normativa nº 1, de 27 de maio de 2020, do Gabinete de Segurança Institucional da Presidência da República; a Instrução Normativa GSI/PR nº 3, de 28 de maio de 2021; e a Instrução Normativa nº 6, de 23 de dezembro de 2021, do Gabinete de Segurança Institucional da Presidência da República;

XXIX - Norma ABNT NBR ISO/IEC 27001:2022: Segurança da informação, segurança cibernética e proteção à privacidade - Sistemas de gestão da segurança da informação - Requisitos;

XXX - Norma ABNT NBR ISO/IEC 27002:2022: Segurança da informação, segurança cibernética e proteção à privacidade - Controles de segurança da informação;

XXXI - Norma ABNT NBR ISO/IEC 27005:2023: Segurança da informação, segurança cibernética e proteção à privacidade - Orientações para gestão de riscos de segurança da informação; e

XXXII - Governo Digital. Guias Operacionais para adequação à Lei Geral de Proteção de Dados. Disponível em https://www.gov.br/governodigital/pt-br/governanca-de-dados/guias-operacionais-para-adequacao-a-lgpd. Acesso em 26 de maio de 2021.

Art. 128. Ficam revogadas:

I - a Portaria nº 126, de 5 de novembro de 2013, do Ministério do Desenvolvimento Social e Combate à Fome;

II - a Portaria nº 224, de 31 de julho de 2012, da Secretaria-Executiva do Ministério do Desenvolvimento Social e Combate à Fome;

III - a Portaria nº 772, de 25 de setembro de 2018, da Secretaria-Executiva do Ministério do Desenvolvimento Social; e

IV - a Portaria nº 773, de 25 de setembro de 2018, da Secretaria-Executiva do Ministério do Desenvolvimento Social.

Art. 129. Esta Portaria entra em vigor em 1º de dezembro de 2023.

JOSÉ WELLINGTON BARROSO DE ARAÚJO DIAS

ANEXO I

CONCEITOS E DEFINIÇÕES DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Para efeitos desta POSIN adotam-se as seguintes definições:

ALTA ADMINISTRAÇÃO - Ministros de Estado, ocupantes de cargos de natureza especial, ocupantes de cargo de nível 6 (seis) do Grupo Direção e Assessoramento Superiores - DAS e presidentes e diretores de autarquias, inclusive as especiais, e de fundações públicas ou autoridades de hierarquia equivalente;

APF - acrônimo de Administração Pública Federal;

ATIVOS DE TECNOLOGIA DA INFORMAÇÃO - subgrupo dos ativos de informação, que inclui hardware, software e serviços relacionados à tecnologia da informação;

AUDITABILIDADE - todos os eventos significantes dos processos e sistemas devem ser rastreáveis até o evento inicial, identificando, inclusive, o responsável pelo seu acontecimento; e

GESTOR DO ATIVO DE INFORMAÇÃO - área administrativa do Ministério, ou indivíduo legalmente instituído por sua posição ou cargo, que é responsável primário pela viabilidade e sobrevivência da informação e dos processos de negócio, bem como os ativos de informação relacionados a esses.

ANEXO II

TERMO DE RESPONSABILIDADE E SIGILO

 

 

Nome do Servidor/Colaborador:

 

SIAPE/Matrícula:

 

CPF:

 

Lotação:

 

Empresa:

 

Cargo/Função

  

Cláusula 1ª - Comprometo-me a manter o mais absoluto sigilo com relação a toda e qualquer informação sob restrição de acesso e a evitar ações que possam comprometer a Disponibilidade, Integridade, Confidencialidade e Autenticidade das informações e dos dados pessoais, bem como a proteção dos ativos de informação sob minha responsabilidade. Para tanto, declaro meu compromisso de:

a) contribuir para assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações e dados pessoais, conforme descrito na legislações vigentes de segurança da informação e de proteção de dados;

b) manter em segredo todas as informações que tenham sido obtidas de outra parte, identificadas como confidenciais, e usá-las exclusivamente para a execução dos objetivos de trabalho, sujeitando-me às penalidades previstas conforme inciso IX, artigo 132, da Lei nº 8.112, de 11 de dezembro de 1990;

c) não revelar, reproduzir, utilizar ou dar conhecimento a terceiros, em hipótese alguma, de informações sob restrição de acesso obtidas, sem a prévia autorização do Gestor do Ativo de Informação e análise da necessidade de proteção, sujeitando-me às penalidades previstas conforme artigo 11 da Lei nº 8.429, de 2 de junho de 1992, incisos III, IV e VII, alterada pela Lei nº 14.230, de 25 de outubro de 2021, e artigo 32 da Lei nº 12.527, de 18 de novembro de 2011, incisos II, IV, V, § 1º, inciso II e § 2º;

d) a não utilizar as informações sob restrição de acesso que eu tenha obtido, para gerar benefício próprio exclusivo e/ou unilateral, presente ou futuro, ou para o uso de terceiros;

e) não tomar qualquer medida com vistas a obter para mim, ou para terceiros, os direitos de propriedade intelectual relativos às informações sigilosas a que eu tenha acesso, sujeitando-me às penalidades previstas no inciso I, artigo 5º, da Lei nº 8.027, de 12 de abril de 1990;

f) não acessar deliberadamente, usar ou tentar usar os ativos de informação geridos ou custodiados pelo Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome para acessar, guardar, enviar, postar ou publicar material que seja inadequado. Isso inclui material pornográfico, sexualmente abusivo, obsceno, racista, sexista e de qualquer outro modo discriminatório, ameaçador ou assediador, pessoalmente ofensivo, difamatório ou ilegal;

g) tomar as medidas necessárias para proteger os ativos de informação que estejam sob minha responsabilidade contra perda, roubo e divulgação não autorizada;

h) utilizar os ativos de informação somente para realizar atividades relacionadas ao trabalho;

i) a não repassar o conhecimento das informações sob restrição de acesso, responsabilizando-me por todas as pessoas que vierem a ter acesso às informações, por meu intermédio, e obrigando-me, assim, a ressarcir em caso de ocorrência de qualquer dano e/ou prejuízo oriundo de uma eventual quebra de sigilo das informações fornecidas;

j) reconhecer que a utilização dos ativos de informação deste Ministério está sob monitoramento conforme previsto na legislação de segurança da informação e de proteção de dados pessoais, sem prejuízo das ações disciplinares que possam ser tomadas;

k) não praticar quaisquer atos que possam afetar o sigilo, a integridade das informações sob restrição de acesso, a imagem deste órgão e que invadam a privacidade pessoal e organizacional; e

l) ao tomar conhecimento de um incidente de segurança da informação, nos ativos sob minha responsabilidade, informar imediatamente ao Gestor de Segurança da Informação/Subsecretário de Tecnologia da Informação do MDS para que sejam adotadas as decisões e providências cabíveis.

Cláusula 2ª - Estou ciente de que as senhas de acesso aos ativos de informação têm caráter confidencial, pessoal e intransferível, sendo minha responsabilidade zelar pelo seu sigilo, evitando:

a) escolher senhas de fácil dedução, como datas de aniversários, nomes próprios, etc;

b) compartilhar a senha com quem quer que seja ou sob qualquer justificativa; e

c) anotá-la ou registrá-la em qualquer meio visível por terceiros.

Cláusula 3ª - Declaro que tenho o conhecimento de que todas as minhas ações nos ativos de informação do MDS podem ser registradas e posteriormente averiguadas pelo Ministério, sem prejuízo das ações disciplinares que possam ser tomadas.

Cláusula 4ª - Declaro, finalmente, estar ciente da obrigação de preservar os ativos de informação a mim confiados e que o descumprimento dos itens constantes desta declaração serão considerados atos de violação e quebra de segurança da informação.

Cláusula 5ª - O presente Termo tem natureza irrevogável e irretratável, e o seu não cumprimento acarretará todos os efeitos de ordem administrativa, civil e penal contra seus transgressores.

Cláusula 6ª - Para dirimir quaisquer dúvidas oriundas do presente Termo, fica eleito o Gestor de Segurança da Informação, com renúncia expressa a qualquer outro, por mais privilegiado que seja.

Cláusula 7ª - Declaro, nesta data, ter ciência e estar de acordo com a Política de Segurança da Informação deste Ministério e com este termo de responsabilidade e sigilo, comprometendo-me a respeitá-los e cumpri-los plena e integralmente, além de manter sempre verossímeis as informações da instituição e de minha área de competência.

NOME DO SERVIDOR/COLABORADOR

Área de Lotação

REFERÊNCIAS LEGAIS E NORMATIVAS

Constituição da República Federativa do Brasil de 1988.

Decreto-Lei nº 2.848, de 7 de dezembro de 1940. Código Penal, artigos 153, 154, 154A, 154B, 314, 325, e 327.

Decreto-Lei nº 3.689, de 3 de outubro de 1941. Código de Processo Penal, artigo 207.

Decreto nº 9.637, de 26 de dezembro de 2018. Institui a Política Nacional de Segurança da Informação.

Decreto nº 1.171 de 22 de junho de 1994. Código de Ética.

Lei Complementar nº 101, de 4 de maio de 2000, Lei de Responsabilidade Fiscal.

Lei Complementar nº 131, de 27 de maio de 2009, Lei da Transparência.

Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais.

Lei nº 13.105, de 16 de março de 2015. Código de Processo Civil, artigos 388 e 404.

Lei nº 12.527, de 18 de novembro de 2011, Lei de Acesso à Informação.

Lei nº 13.105, de 16 de março de 2015. Código de Processo Civil. artigo 388, inciso II.

Lei nº 8.159 de 8 de janeiro de 1991. Lei de Arquivos, artigos 4, 6 e 25.

Lei nº 9.983 de 14 de julho de 2000. Altera o Código Penal.

Lei nº 8.112 de 11 de dezembro de 1990. Regime Jurídico dos Servidores.

Lei nº 8.027 de 12 de abril de 1990. Conduta dos Servidores Públicos.

Este conteúdo não substitui o publicado na versão certificada.