Normas e Políticas sobre a utilização de aplicativos no âmbito do MAPA

PORTARIA MAPA Nº 136, DE 25 DE MAIO DE 2021

Aprova a Política de Segurança da Informação do Ministério da Agricultura, Pecuária e Abastecimento - PoSIC/MAPA.

A MINISTRA DE ESTADO DA AGRICULTURA, PECUÁRIA E ABASTECIMENTO, no uso das atribuições que lhe confere o art. 87, parágrafo único, inciso II, da Constituição Federal, tendo em vista o disposto no inciso II do art. 15 do Decreto nº 9.637, de 26 de dezembro de 2018, no art. 9º, caput, parágrafo único e, art. 10, caput, parágrafo único, ambos da Instrução Normativa GSI/PR nº 1, de 27 de maio de 2020, e o que consta do Processo nº 21000.056426/2020-40, resolve:

Art. 1º Fica aprovada a Política de Segurança da Informação do Ministério da Agricultura, Pecuária e Abastecimento - PoSIC/MAPA, na forma do Anexo desta Portaria.

Art. 2º Revogam-se:

I - a Portaria MAPA nº 147, de 10 de julho de 2015;

II - a Portaria MAPA nº 1.068, de 14 de junho de 2017; e

III - as Normas Complementares PoSIC/MAPA nºs 1 a 8, de 14 de junho de 2017.

Art. 3º Esta Portaria entra em vigor em 1º de julho de 2021.

TEREZA CRISTINA CORREA DA COSTA DIAS

ANEXO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES DO MINISTÉRIO DA AGRICULTURA, PECUÁRIA E ABASTECIMENTO - POSIC/MAPA

CAPÍTULO I

DAS DISPOSIÇÕES PRELIMINARES

Art. 1º A Política de Segurança da Informação do Ministério da Agricultura, Pecuária e Abastecimento - PoSIC/MAPA tem como finalidade estabelecer objetivos, princípios, diretrizes gerais, competências, penalidades e política de atualização das ações de segurança da informação nas áreas de competência previstas no art. 1º do Anexo I ao Decreto nº 10.253, de 20 de fevereiro de 2020, de forma a assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação do MAPA.

Art. 2º A PoSIC/MAPA abrange os órgãos de assistência direta e imediata ao Ministro de Estado da Agricultura, Pecuária e Abastecimento, os órgãos específicos singulares e os órgãos colegiados de que tratam os incisos I, II e III do art. 2º do Anexo I ao Decreto nº 10.253, de 2020, bem como os agentes públicos lotados no MAPA.

§ 1º Os contratos firmados pelo MAPA deverão conter cláusulas que determinem a observância desta PoSIC/MAPA e de seus atos normativos complementares por parte do contratado, bem como de seus dirigentes, prepostos, administradores, representantes e colaboradores.

§ 2º As entidades vinculadas de que trata o inciso IV do art. 2º do Anexo I ao Decreto nº 10.253, de 2020, deverão editar suas respectivas políticas de segurança da informação e comunicações.

Art. 3º A PoSIC/MAPA deverá ser complementada por atos normativos ulteriores, conforme as competências definidas neste Anexo.

CAPÍTULO II

DAS DEFINIÇÕES

Art. 4º Para efeitos desta Portaria, considera-se:

I - ameaça: conjunto de fatores externos ou causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização;

II - ativo: qualquer coisa que tenha valor para a organização;

III - ativos de informação: os meios de armazenamento, transmissão e processamento da informação, os equipamentos necessários a isso, os sistemas utilizados para tal, os locais onde se encontram esses meios, e também os recursos humanos que a eles têm acesso;

IV - autenticidade: propriedade pela qual se assegura que a informação foi produzida, expedida, modificada ou destruída por uma determinada pessoa física, equipamento, sistema, órgão ou entidade;

V - confidencialidade: propriedade pela qual se assegura que a informação não esteja disponível ou não seja revelada a pessoa, a sistema, a órgão ou a entidade, não autorizados nem credenciados;

VI - consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;

VII - custodiante da informação: qualquer indivíduo ou estrutura de órgão ou entidade da APF, direta e indireta, que tenha responsabilidade formal de proteger a informação e aplicar os níveis de controles de segurança em conformidade com as exigências de Segurança da Informação comunicadas pelo proprietário da informação;

VIII - disponibilidade: propriedade pela qual se assegura que a informação esteja acessível e utilizável sob demanda por uma pessoa física ou determinado sistema, órgão ou entidade devidamente autorizados;

IX - integridade: propriedade pela qual se assegura que a informação não foi modificada ou destruída de maneira não autorizada ou acidental;

X - segurança da informação: ações que objetivam viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações;

XI - segurança orgânica: conjunto de medidas passivas com o objetivo de prevenir e até mesmo obstruir as ações que visem ao comprometimento ou à quebra de segurança de uma organização. Inclui os processos relacionados às áreas: de pessoal, de documentação, das comunicações, da tecnologia da informação, dos materiais e das instalações de uma organização, dentre outros;

XII - serviços: um meio de fornecer valor a clientes, facilitando a obtenção de resultados que eles desejam, sem que tenham que arcar com a propriedade de determinados custos e riscos;

XIII - sistema de proteção física: sistema composto por pessoas, equipamentos e procedimentos para a proteção de ativos contra danos, roubo, sabotagem e outros prejuízos causados por ações humanas não autorizadas, conforme gestão da segurança física e ambiental;

XIV - tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

XV - tratamento da informação: conjunto de ações referentes à produção, recepção, classificação, utilização, acesso, reprodução, transporte, transmissão, distribuição, arquivamento, armazenamento, eliminação, avaliação, destinação ou controle da informação;

XVI - tratamento da informação classificada: conjunto de ações referentes a produção, recepção, classificação, utilização, acesso, reprodução, transporte, transmissão, distribuição, arquivamento, armazenamento, eliminação, avaliação, destinação ou controle de informação classificada em qualquer grau de sigilo; e

XVII - vulnerabilidade: conjunto de fatores internos ou causa potencial de um incidente indesejado, que podem resultar em risco para um sistema ou por uma organização, os quais podem ser evitados por uma ação interna de segurança da informação.

Parágrafo único. A implementação da PoSIC/MAPA observará a Portaria MAPA nº 375, de 23 de novembro de 2020, que aprovou o Plano Estratégico do MAPA para o período 2020-2031.

CAPÍTULO III

DOS PRINCÍPIOS

Art. 5º São princípios da PoSIC/MAPA:

I - dever de garantir o sigilo de informações imprescindíveis à segurança da sociedade e do Estado e a inviolabilidade da vida privada, da honra e da imagem das pessoas;

II - respeito e promoção dos direitos humanos e das garantias fundamentais, em especial a liberdade de expressão, a proteção de dados pessoais, a proteção da privacidade e o acesso à informação;

III - visão abrangente e sistêmica da segurança da informação;

IV - preservação do acervo histórico do MAPA; V - educação como alicerce fundamental para o fomento da cultura da segurança da informação;

VI - orientação à gestão de riscos e à gestão da segurança da Informação;

VII - prevenção e tratamento de incidentes de segurança da Informação;

VIII - articulação entre ações de segurança cibernética e de proteção de dados e ativos de informação;

IX - need to know (necessidade de conhecer) para o acesso a informações sigilosas, nos termos da legislação vigente;

X - consentimento do proprietário da informação sigilosa recebida de outros países, nos casos de acordos internacionais;

XI - integração e cooperação entre MAPA, sociedade, instituições de ensino e pesquisa, setor produtivo e órgãos e entidades da administração pública direta e indireta da União, Estados, Distrito Federal e Municípios; e

XII - alinhamento ao planejamento estratégico do MAPA.

CAPÍTULO IV

DOS OBJETIVOS

Art. 6º São objetivos da PoSIC/MAPA:

I - orientar as ações de segurança da informação para a realização das competências previstas no art. 1º do Anexo I ao Decreto nº 10.253, de 2020;

II - aprimorar continuamente o arcabouço legal e normativo do MAPA relacionado à segurança da informação;

III - fomentar a formação e a qualificação de recursos humanos do MAPA necessários à segurança da informação;

IV - fortalecer a cultura da segurança da informação no MAPA;

V - orientar ações relacionadas com:

a) a segurança de dados e informações custodiados pelo MAPA;

b) a segurança dos ativos de informação do MAPA;

c) a proteção de dados e informações pessoais custodiados pelo MAPA; e

d) o tratamento de informações classificada ou com restrição de acesso;

VI - contribuir para a preservação da memória histórica, cultural e institucional do MAPA;

VII - promover e fomentar a salvaguarda e proteção dos ativos de informação constituintes da cadeia produtiva agropecuária brasileira; e

VIII - contribuir para a consecução da missão e os objetivos estratégicos do MAPA.

CAPÍTULO V

DAS DIRETRIZES GERAIS

Art. 7º As diretrizes gerais da PoSIC/MAPA encontram-se divididas entre os seguintes temas:

I - tratamento da informação;

II - segurança física e do ambiente;

III - gestão de incidentes em segurança da informação;

IV - gestão de ativos;

V - gestão do uso dos recursos operacionais e de comunicação, tais como, e-mail, acesso à internet, mídias sociais, computação em nuvens, dentre outros;

VI - controle de acesso lógico;

VII - gestão de riscos;

VIII - gestão de continuidade; e

IX - auditoria e conformidade.

Seção I

Do Tratamento da Informação

Art. 8º Toda informação produzida, recepcionada, coletada, armazenada ou custodiada será considerada um ativo pertencente ao MAPA, que deverá promover as medidas de segurança necessárias à integridade, disponibilidade e restrição de acesso às informações pessoais, sensíveis ou não, sigilosas e classificadas, e complementarmente, seus agentes públicos obedecerão às seguintes diretrizes:

I - o exercício do direito fundamental de acesso à informação pública ao cidadão, independentemente de motivação, ressalvadas as hipóteses de restrição legalmente previstas, nos termos da Lei nº 12.527, de 18 de novembro de 2011, regulamentada pelo Decreto nº 7.724, de 16 de maio de 2012;

II - o acesso a informações pessoais será disponibilizado somente ao titular da informação ou ao seu procurador devidamente constituído, mediante comprovação de identidade, nos termos do inciso II do art. 55 e art. 60, parágrafo único, inciso I, do Decreto nº 7.724, de 2012;

III - o tratamento de informações pessoais, sensíveis ou não, será realizado mediante a observância das normas contidas na Lei nº 13.709, de 14 de agosto de 2018; e

IV - o tratamento e armazenamento da informação classificada em qualquer grau de sigilo será realizado em observância aos termos disposto no Decreto nº 7.845, de 14 de novembro de 2012, e às normas complementares editadas pela Comissão Permanente de Avaliação de Documentos Sigilosos - CPADS/MAPA.

Seção II

Da Segurança Física e do Ambiente

Art. 9º A segurança física e do ambiente será exercida por meio da combinação de ações de segurança orgânica e utilização de sistema de proteção física com a finalidade de assegurar as condições necessárias à prevenção de incidentes que possam afetar ativos, especialmente, físicos, serviços e agentes públicos do MAPA, durante o exercício de suas atribuições, e obedecerá às seguintes diretrizes:

I - os agentes públicos do MAPA devem seguir as normas vigentes relacionadas à segurança física e patrimonial, sob pena de responsabilidade administrativa;

II - as Unidades do MAPA deverão conservar suas instalações físicas de forma a manter a edificação em condições adequadas ao seu perfeito funcionamento, minimizando eventuais ocorrências de casos fortuitos ou de força maior que possam causar danos ao MAPA; e

III - o cadastro, a entrada, a permanência, a circulação e a saída de pessoas nas instalações dos edifícios sede e anexo do MAPA serão monitorados e controlados pela área de vigilância da unidade, por meio do sistema de "controle de acesso" ou, ainda, por circuito fechado de câmeras, conforme definido em regulamentação interna da área de logística do MAPA.

Seção III

Da Gestão de Incidentes em Segurança da Informação

Art. 10. A área de tecnologia da informação deverá constituir uma Equipe de Tratamento e Resposta a Incidentes Cibernéticos - ETIR, com a responsabilidade de receber, analisar e responder as notificações e as atividades relacionadas a incidentes de segurança em redes de computadores.

Parágrafo único. As normas, padrões e procedimentos técnicos para a atuação da ETIR serão fixados em documento específico a ser elaborado pela área de tecnologia da informação com a participação do Comitê de Segurança da Informação - CSI/MAPA.

Seção IV

Da Gestão de Ativos

Art. 11. A gestão de ativos de informação, compreenderá o processo de inventário e mapeamento destes ativos, com o objetivo de estruturar e manter uma base de dados que sirva de subsídio para os demais processos do MAPA, em especial, os de gestão de risco e de gestão de continuidade em segurança da informação, e obedecerá às seguintes diretrizes:

I - alinhamento aos objetivos estratégicos do MAPA;

II - consideração dos processos internos do MAPA;

III - observância dos requisitos legais e normativos; e

IV - adequação à estrutura do MAPA.

Seção V

Da Gestão do Uso dos Recursos Operacionais e de Comunicações, tais como, e-mail, acesso à internet, mídias sociais, computação em nuvem, dentre outros

Art. 12. A gestão do uso dos recursos operacionais e de comunicação, especialmente e-mail, acesso à internet, mídias sociais e computação em nuvem, será objeto de atos normativos complementares, a serem editados pela área da tecnologia da informação do MAPA, com a participação do CSI/MAPA.

Parágrafo único. No caso específico de mídias sociais, além do contido no Código de Conduta Ética dos Agentes Públicos do MAPA, poderão ser editadas, a partir de proposta discutida no âmbito do CSI/MAPA, outras normas de conduta para seu uso seguro por parte de seus agentes públicos, cabendo-lhes a responsabilidade por sua observância e cumprimento integrais.

Seção VI

Controles de Acesso Lógico

Art. 13. A área de tecnologia da informação deverá implementar controles e sistematizar a concessão de acesso lógico aos ativos de informação.

Parágrafo único. As normas, padrões e procedimentos técnicos para a implementação de controles e concessão de acesso lógico aos ativos de tecnologia da informação serão fixados em documento específico, a ser elaborado pela área de tecnologia da informação com a participação do CSI/MAPA.

Seção VII

Gestão de Riscos

Art. 14. A gestão de riscos em segurança da informação é o processo de identificar, analisar, avaliar, tratar, registrar, monitorar e comunicar potenciais eventos ou situações visando dar razoável certeza quanto ao alcance dos objetivos da instituição e estará alinhada à Política de Gestão de Riscos e Controles Internos - PGRCI/MAPA.

Art. 15. A gestão de riscos deve promover a adequação entre investimentos em medidas de proteção para minimizar ou eliminar riscos a que estejam sujeitos os ativos de informação do MAPA e os custos dos ativos a serem protegidos.

Seção VIII

Gestão de Continuidade

Art. 16. A gestão de continuidade almeja minimizar os impactos decorrentes de falhas, desastres ou indisponibilidades significativas sobre as atividades do MAPA, além de recuperar perdas de ativos de informação a um nível aceitável, por intermédio de ações de prevenção, resposta e recuperação, e obedecerá às seguintes diretrizes:

I - identificação de atividades críticas;

II - elaboração de planos de gestão de continuidade relacionados às atividades críticas;

III - realização de testes e exercícios dos planos de gestão de continuidade das atividades críticas;

IV - avaliação e aprimoramento dos planos de gestão de continuidade das atividades críticas a partir dos resultados de testes e exercícios;

V - administração da contingência, quando da interrupção de atividades, com base nos planos desenvolvidos; e

VI - proposição de recursos necessários para a implantação e desenvolvimento de ações relacionadas à continuidade das atividades, bem como para a realização dos testes e dos exercícios dos planos.

§ 1º A gestão de continuidade poderá envolver ações mais abrangentes do que as relacionadas à segurança da informação, especialmente devido aos requisitos de continuidade referentes a ativos do MAPA, cabendo às respectivas áreas elaborarem seus planos de continuidade, de acordo com a legislação vigente.

§ 2º As normas, padrões e procedimentos técnicos específicos para a implantação do processo de gestão de continuidade das atividades críticas de tecnologia da informação serão fixados em documento específico, a ser elaborado pela área de tecnologia da informação e deverá contar com a participação do CSI/MAPA.

Seção IX

Auditoria e Conformidade

Art. 17. A auditoria em segurança da informação, observadas as normas, padrões e procedimentos técnicos específicos fixados pelo Gabinete de Segurança Institucional da Presidência da República - GSI/PR, consistirá na averiguação periódica das ações de segurança da informação referentes aos temas mencionados nos incisos I a VIII do art. 7º deste Anexo, e obedecerá às seguintes diretrizes:

I - aperfeiçoamento constante das ações de segurança da informação por meio da efetiva implementação da PoSIC/MAPA;

II - periodicidade condizente com a política de atualização definida no art. 24; e

III - observância das melhores práticas, nacionais e internacionais, de auditoria em segurança da informação.

Art. 18. A avaliação de conformidade em segurança da informação, observadas as normas, padrões e procedimentos técnicos específicos fixados pelo Gabinete de Segurança Institucional da Presidência da República - GSI/PR, consistirá em sistemática verificação do adequado grau de confiança nos processos de gestão da segurança da informação, com vistas a evitar desconformidades em relação a requisitos técnicos previamente definidos.

CAPÍTULO VI

DAS COMPETÊNCIAS

Art. 19. Ao Comitê de Governança, Riscos e Controle do Ministério da Agricultura, Pecuária e Abastecimento - CGRC/MAPA compete:

I - promover a simplificação administrativa, a modernização da gestão pública e a integração dos serviços públicos, especialmente aqueles prestados por meio eletrônico, com vistas a atender as diretrizes gerais de segurança da informação;

II - monitorar o desempenho e avaliar a concepção, a implementação e os resultados da PoSIC/MAPA e de suas instruções normativas complementares;

III - incorporar padrões elevados de conduta para a garantia da segurança da informação e orientar o comportamento dos agentes públicos, em consonância com as funções e atribuições;

IV - planejar a execução de programas, de projetos e de processos relativos à segurança da informação;

V - estabelecer diretrizes para o processo de gestão de riscos de segurança da informação, implementando controles internos correspondentes;

VI - assegurar a implantação de mecanismo de comunicação imediata sobre a existência de vulnerabilidades ou incidentes de segurança que impactem ou possam impactar os serviços prestados ou contratados;

VII - assegurar a implementação e manutenção de mecanismos, instâncias e práticas de governança da segurança da informação, em consonância com a legislação vigente;

VIII - observar a Política Nacional de Segurança da Informação - PNSI; e

IX - garantir recursos orçamentários para ações de segurança da informação.

Art. 20. Compete ao CSI/MAPA:

I - promover ações de capacitação e profissionalização dos recursos humanos em temas relacionados à segurança da informação;

II - supervisionar as atividades desempenhadas pela Equipe de Tratamento e Resposta a Incidentes Cibernéticos em redes computacionais;

III - coordenar e executar as ações de segurança da informação no âmbito de sua atuação;

IV - consolidar e analisar os resultados dos trabalhos de auditoria sobre a gestão de segurança da informação;

V - assessorar a implementação das ações de segurança da informação;

VI - propor a constituição de grupos de trabalho para tratar de temas e propor soluções específicas sobre segurança da informação;

VII - elaborar a PoSIC/MAPA e as normas internas de segurança da informação;

VIII - propor alterações à PoSIC/MAPA e às normas internas de segurança da informação; e

IX - deliberar sobre normas internas de segurança da informação.

Art. 21. Ao Gestor de Segurança da Informação compete:

I - assessorar os órgãos específicos singulares do MAPA na implementação da PoSIC/MAPA;

II - estimular ações de capacitação e de profissionalização de recursos humanos em temas relacionados à segurança da informação;

III - promover a divulgação da política e das normas internas de segurança da informação do Órgão a todos os agentes públicos do MAPA;

IV - incentivar estudos de novas tecnologias, bem como seus eventuais impactos relacionados à segurança da informação;

V - propor recursos necessários às ações de segurança da informação;

VI - acompanhar os trabalhos da Equipe de Tratamento e Resposta a Incidentes Cibernéticos;

VII - verificar os resultados dos trabalhos de auditoria sobre a gestão da segurança da informação; e

VIII - acompanhar a aplicação de ações corretivas e administrativas cabíveis nos casos de violação da segurança da informação.

CAPÍTULO VII

DAS PENALIDADES

Art. 22. A não observância do disposto na PoSIC/MAPA e nos seus atos normativos complementares acarretará responsabilização administrativa, civil e penal, na forma da legislação vigente.

CAPÍTULO VIII

DA POLÍTICA DE ATUALIZAÇÃO

Art. 23. A PoSIC/MAPA e seus atos normativos complementares deverão ser revisados sempre que se fizer necessário, não excedendo o prazo máximo de 4 (quatro) anos.

CAPÍTULO VIII

DISPOSIÇÕES FINAIS

Art. 24. Todos os agentes públicos do MAPA devem conhecer e zelar pelo cumprimento da PoSIC/MAPA e adotar comportamento seguro, proativo e engajado no que diz respeito à segurança da informação, de acordo com o Código de Conduta Ética dos Agentes Públicos do MAPA.

PORTARIA Nº 306, DE 23 DE DEZEMBRO DE 2019

Institui, no âmbito do Ministério da Agricultura, Pecuária e Abastecimento, o Comitê de Segurança da Informação - CSI/MAPA.

O MINISTRO DE ESTADO DA AGRICULTURA, PECUÁRIA E ABASTECIMENTO SUBSTITUTO, no uso das atribuições que lhe confere o art. 87, parágrafo único, inciso II, da Constituição, com base no art. 1º, inciso III, do Decreto nº 8.851, de 20 de setembro de 2016, tendo em vista o disposto no Decreto nº 9.637, de 26 de dezembro de 2018, alterado pelo Decreto nº 9.832, de 12 de junho de 2019, e o que consta do Processo SEI nº 00186.020072/2018-80, resolve:

Art. 1º Fica instituído, no âmbito do Ministério da Agricultura, Pecuária e Abastecimento, o Comitê de Segurança da Informação - CSI/MAPA.

Art. 2º Ao CSI/MAPA compete:

I - assessorar na implementação das ações de segurança da informação;

II - constituir grupos de trabalho para tratar de temas e propor soluções específicas sobre segurança da informação;

III - propor alterações na política de segurança da informação interna; e

IV - propor normas internas relativas à segurança da informação.

Art. 3º Designar, para compor o CSI/MAPA, nos termos do § 1º do art. 15 do Decreto nº 9.637, de 2018, os representantes a seguir:

I - Gestor de Segurança da Informação do Ministério da Agricultura, Pecuária e Abastecimento, que o coordenará:

Titular: CLÁUDIO TORQUATO DA SILVA;

Suplente: GEORGE NOGUEIRA.

II - Coordenador-Geral de Tecnologia da Informação - CGTI:

Titular: LEONARDO GOMES MIRANDA.

III - Secretaria-Executiva - SE:

Titular: JOSÉ EUSTÁQUIO RIBEIRO VIEIRA FILHO.

IV - Secretaria de Política Agrícola - SPA:

Titular: JOSÉ ANGELO MAZZILLO JÚNIOR.

V - Secretária de Defesa Agropecuária - SDA:

Titular: FERNANDO AUGUSTO MENDES PEREIRA.

VI - Secretaria de Aquicultura e Pesca - SAP:

Titular: JOÃO CRESCÊNCIO ARAGÃO MARINHO.

VII - Secretaria de Inovação, Desenvolvimento Rural e Irrigação - SDI:

Titular: PEDRO ALVES CORRÊA NETO.

VIII - Secretaria de Agricultura Familiar e Cooperativismo - SAF:

Titular: MÁRCIO CÂNDIDO ALVES.

IX - Secretaria de Comércio e Relações Internacionais - SCRI:

Titular: FLÁVIO CAMPESTRIN BETARELLO.

X - Secretaria Especial de Assuntos Fundiários - SEAF:

Titular: MARCELO ALEXANDRINO DE OLIVEIRA.

XI - Serviço Florestal Brasileiro - SFB:

Titular: VALDIR COLATTO.

§ 1º No caso de afastamento ou impedimento legal, temporário ou eventual, o titular será representado por seu substituto legal.

§ 2º O trabalho como membro do CSI/MAPA se desenvolverá sem prejuízo das atribuições decorrentes do cargo ou função pública, e não implicará remuneração complementar.

Art. 4º O CSI/MAPA reunir-se-á em sessão ordinária, no mínimo trimestralmente e, extraordinariamente, por convocação de seu Coordenador ou de pelo menos 1/3 dos membros, em qualquer data.

§ 1º As reuniões cujos membros estejam em entes federativos diversos serão realizadas preferencialmente por videoconferência, exceto na hipótese de ser demonstrada, de modo fundamentado, a inviabilidade ou a inconveniência de se realizar a reunião por este meio e desde que comprovada a disponibilidade orçamentária e financeira para gastos com diárias e passagens.

§ 2º O quórum mínimo para abertura dos trabalhos do CSI/MAPA é de 50% do total de seus membros, excluindo-se o coordenador do comitê.

§ 3º As deliberações do CSI/MAPA serão tomadas por maioria absoluta dos seus membros.

§4º Em caso de empate proceder-se-á uma nova rodada de discussões e deliberação e, permanecendo o empate, caberá ao Coordenador do Comitê o voto de qualidade.

§5º Os membros do CSI/MAPA poderão convidar para participar das reuniões, sem direito a voto, representantes de outras unidades, órgãos e entidades públicas, empresas privadas ou organizações da sociedade civil, a fim de colaborar na execução de trabalhos a serem realizados.

Art. 5º Ao coordenador do CSI/MAPA caberá:

I - manter contato direto com o Departamento de Segurança da Informação do Gabinete de Segurança Institucional da Presidência da República para o trato de assuntos relativos à segurança da informação; e

II - publicar, a partir de pedidos dos dirigentes das Unidades Administrativas, ato próprio de substituição dos representantes constantes do art. 3º.

Parágrafo único. Caberá a Assessoria Especial de Controle Interno - AECI/MAPA prestar apoio administrativo ao colegiado.

Art. 6º O CSI/MAPA deverá aprovar o seu Regimento Interno no prazo de 180 dias, a contar da primeira reunião ordinária, que deverá inserir item específico para tratar do assunto.

Art. 7º Fica revogada a Portaria MAPA nº 502, de 04 de abril de 2017.

Art. 8º Esta Portaria entra em vigor na data de sua publicação.

PORTARIA MAPA Nº 491, DE 21 DE SETEMBRO DE 2022

Aprova, no âmbito do Ministério da Agricultura, Pecuária e Abastecimento, a Política de Gestão de Controle de Acesso Lógico e Físico.

O MINISTRO DE ESTADO DA AGRICULTURA, PECUÁRIA E ABASTECIMENTO, no uso das atribuições que lhe confere o art. 87, parágrafo único, inciso II, da Constituição Federal, tendo em vista o disposto no Decreto nº 9.637, de 26 de dezembro de 2018, na Instrução Normativa nº 1, de 27 de maio de 2020, do Gabinete de Segurança Institucional da Presidência da República, na Portaria MAPA nº 136, de 25 de maio de 2021, e o que consta do Processo nº 21000.031770/2022-98, resolve:

Art. 1º Fica aprovada, no âmbito do Ministério da Agricultura, Pecuária e Abastecimento, a Política de Gestão de Controle de Acesso Lógico e Físico, conforme previsto nos arts. 9º e 13 da Portaria MAPA nº 136, de 25 de maio de 2021, que aprova a Política de Segurança da Informação do Ministério da Agricultura, Pecuária e Abastecimento - PoSIC/MAPA, na forma do Anexo desta Portaria.

Art. 2º Esta Portaria entra em vigor em 3 de outubro de 2022.

MARCOS MONTES

ANEXO

POLÍTICA DE GESTÃO DE CONTROLE DE ACESSO LÓGICO E FÍSICO

CAPÍTULO I

DAS DISPOSIÇÕES PRELIMINARES

Seção I

Do objetivo

Art. 1º A Política de Gestão de Controle de Acesso Lógico e Físico tem por objetivo proteger os ativos de informação sob a responsabilidade do Ministério da Agricultura, Pecuária e Abastecimento contra acesso, perda, modificação ou divulgação não autorizada.

Seção II

Da abrangência

Art. 2º A Política de Gestão de Controle de Acesso Lógico e Físico abrangerá todos os órgãos de assistência direta e imediata ao Ministro de Estado da Agricultura, Pecuária e Abastecimento, os órgãos específicos singulares e os órgãos colegiados constantes da estrutura regimental do Ministério da Agricultura, Pecuária e Abastecimento.

§ 1º Os contratos firmados pelo Ministério da Agricultura, Pecuária e Abastecimento deverão conter cláusulas que determinem a observância desta Política de Gestão de Controle de Acesso Lógico e Físico por parte do contratado, e de seus dirigentes, prepostos, administradores, representantes e colaboradores.

§ 2º As entidades vinculadas de que trata o inciso IV do art. 2º do Anexo I do Decreto nº 10.827, de 30 de setembro de 2021, deverão editar suas respectivas políticas de gestão de controle de acesso lógico e físico.

CAPÍTULO II

DOS PRINCÍPIOS

Art. 3º A Política de Gestão de Controle de Acesso Lógico e Físico deverá atender aos seguintes princípios constantes da Política de Segurança da Informação do Ministério da Agricultura, Pecuária e Abastecimento - PoSIC/MAPA:

I - dever de garantir o sigilo de informações imprescindíveis à segurança da sociedade e do Estado e a inviolabilidade da vida privada, da honra e da imagem das pessoas;

II - respeito e promoção dos direitos humanos e das garantias fundamentais, em especial à liberdade de expressão, à proteção de dados pessoais, à proteção da privacidade e o acesso à informação;

III - preservação do acervo histórico do Ministério da Agricultura, Pecuária e Abastecimento;

IV - orientação à gestão de riscos e à gestão da segurança da informação;

V - articulação entre ações de segurança cibernética e de proteção de dados e ativos de informação; e

VI - need to know (necessidade de conhecer) para o acesso a informações sigilosas, nos termos da legislação vigente.

CAPÍTULO III

DO CONTROLE DE ACESSO LÓGICO

Seção I

Da nomenclatura

Art. 4º O padrão estabelecido pelo Departamento de Tecnologia da Informação da Secretaria-Executiva do Ministério da Agricultura, Pecuária e Abastecimento para a criação de conta de acesso à rede local deverá obedecer aos seguintes requisitos de segurança:

I - para servidores e empregados públicos, efetivos e cedidos, em exercício no Ministério da Agricultura, Pecuária e Abastecimento e ocupantes de cargo em comissão ou função de confiança deve-se adotar a regra da nomenclatura: prenome.últimosobrenome e, caso ocorra conflito na nomenclatura entre duas ou mais contas, prevalecerá a antecipação do sobrenome até que seja estabelecida a exclusividade da conta; e

II - para estagiários e prestadores de serviço contratados pelo Ministério da Agricultura, Pecuária e Abastecimento, além do requisito mencionado no inciso I do caput, será adotada a extensão de e-mail: @apoio.agro.gov.br.

Parágrafo único. Para efeitos do cadastramento de prestadores de serviço contratados, o gestor ou fiscal do contrato deverá realizar o credenciamento do prestador de serviço, caso necessário, e informar a data de desligamento do prestador de serviço quando vier a ocorrer antes do fim da data contratual, para que seja providenciado o cancelamento das credenciais.

Seção II

Dos requisitos para a criação e a administração de contas de acesso

Art. 5º Quanto à criação e à administração de contas de acesso deverão ser atendidos os seguintes requisitos de segurança:

I - permissão de acesso a recursos computacionais do Ministério da Agricultura, Pecuária e Abastecimento, exclusivamente, mediante identificação e autenticação de usuários por meio de conta de acesso autorizada;

II - uso obrigatório da ferramenta de múltiplo fator de autenticação habilitada para os usuários na rede do Ministério da Agricultura, Pecuária e Abastecimento; e

III - disponibilização, pessoal e intransferível, a cada usuário, de somente uma conta de acesso à rede local.

§ 1º O primeiro acesso à rede local condicionará o usuário do Ministério da Agricultura, Pecuária e Abastecimento à ciência e total concordância com as disposições estabelecidas na Política de Segurança da Informação do Ministério da Agricultura, Pecuária e Abastecimento - PoSIC/MAPA, responsabilizando-o, expressamente, às seguintes obrigações:

I - tratamento dos ativos de informação como patrimônio do Ministério da Agricultura, Pecuária e Abastecimento;

II - utilização das informações disponíveis exclusivamente no interesse do serviço do Ministério da Agricultura, Pecuária e Abastecimento;

III - contribuição para assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações, conforme dispõe a Instrução Normativa nº 1, de 27 de maio de 2020, do Gabinete de Segurança Institucional da Presidência da República, que dispõe sobre a Estrutura de Gestão da Segurança da Informação nos órgãos e entidades da Administração Pública federal; e

IV - utilização de credenciais, contas de acesso e ativos de informação, em conformidade com a legislação vigente e as normas específicas do Ministério da Agricultura, Pecuária e Abastecimento, com possibilidade de abertura de processo de apuração, com vistas à responsabilização, caso seja constatado o uso indevido.

§ 2º As contas de acesso serão regidas em conformidade com a Lei nº 13.709, de 14 de agosto de 2018, em relação ao seu ciclo de vida, nas ações de processamento e armazenamento, e após o término da sua finalidade, nas ações de exclusão ou recolhimento desses dados.

Seção III

Da gestão de senhas

Art. 6º As senhas das contas de acesso aos recursos computacionais no âmbito do Ministério da Agricultura, Pecuária e Abastecimento deverão ser compostas, obrigatoriamente, por, no mínimo, oito caracteres, os quais devem conter, necessariamente, no mínimo, um caractere maiúsculo, um número e um caractere especial.

§ 1º As senhas de contas de acesso aos recursos computacionais deverão ser, obrigatoriamente, alteradas a cada cento e oitenta dias.

§ 2º Os usuários deverão cadastrar um dispositivo alternativo para recuperação de senha (e-mail, telefone celular ou outros).

Seção IV

Do bloqueio, desbloqueio e cancelamento

Art. 7º A conta de acesso do usuário será bloqueada, excepcionalmente, nas seguintes hipóteses:

I - automaticamente, após cinco tentativas de acesso malsucedidas;

II - por solicitação formal e justificada da chefia imediata ou do titular da unidade de lotação do usuário;

III - por solicitação da área de gestão de pessoas do Ministério da Agricultura, Pecuária e Abastecimento, quando das licenças ou afastamentos previstos em lei, e em decorrência de processo administrativo disciplinar;

IV - quando não utilizadas por período superior a cento e oitenta dias; e

V - quando o usuário não realizar a alteração de senha de que trata o § 1º do art. 6º desta Portaria.

Parágrafo único. Na hipótese de suspeita de uso indevido que infrinja o contido na Política de Segurança da Informação do Ministério da Agricultura, Pecuária e Abastecimento - PoSIC/MAPA e às demais normas correlatas em vigor, a equipe responsável do Departamento de Tecnologia da Informação da Secretaria-Executiva do Ministério da Agricultura, Pecuária e Abastecimento poderá efetuar, a seu critério, o bloqueio temporário e tempestivo das contas de acesso aos recursos computacionais, pelo prazo necessário ao esclarecimento da situação.

Art. 8º O desbloqueio da conta de acesso será realizado, exclusivamente, mediante solicitação formal da chefia imediata da unidade de lotação do usuário ao Departamento de Tecnologia da Informação da Secretaria-Executiva.

Seção V

Dos mecanismos de rastreamento

Art. 9º A rede local deverá possuir mecanismos que permitam identificar e rastrear os endereços de origem, destino e serviços utilizados pelos usuários.

CAPÍTULO IV

DA REDE PRIVADA VIRTUAL (VPN)

Art. 10. Quanto ao uso da Rede Privada Virtual (VPN) deverão ser observadas as seguintes ações:

I - provimento, pelo Departamento de Tecnologia da Informação da Secretaria-Executiva, de conexão via Rede Privada Virtual ao ambiente computacional instalado no Ministério da Agricultura, Pecuária e Abastecimento, por meio de conta de usuário, com vínculo institucional atualizado;

II - autorização de acesso à Rede Privada Virtual, de exclusiva responsabilidade do Departamento de Tecnologia da Informação da Secretaria-Executiva, que poderá recusar qualquer solicitação de acesso que não atenda aos requisitos mínimos de necessidade e de segurança;

III - monitoramento, por parte do Departamento de Tecnologia da Informação da Secretaria-Executiva, do volume de dados das conexões via Rede Privada Virtual, com possibilidade de desconexão automática de qualquer sessão em que se verifiquem taxas divergentes da média normal das demais sessões, caso o bom desempenho da rede local do Ministério da Agricultura, Pecuária e Abastecimento venha a ser comprometido;

IV - avaliação, por parte do Departamento de Tecnologia da Informação da Secretaria-Executiva, quando necessário e com autorização do usuário, de sistemas utilizados e da comunicação de dados para acesso por meio da Rede Privada Virtual, a fim de verificar se está de acordo com os requisitos listados neste Capítulo;

V - suspensão, por motivos de segurança ou correlatos, sem aviso prévio, por parte do Departamento de Tecnologia da Informação da Secretaria-Executiva, do serviço de Rede Privada Virtual disponibilizado;

VI - provimento do acesso à rede do Ministério da Agricultura, Pecuária e Abastecimento, via Rede Privada Virtual de apenas um equipamento por usuário, devidamente registrado no cadastro de usuários da área de gestão de pessoas;

VII - autorização para utilização do serviço de Rede Privada Virtual conforme horário de funcionamento regulamentado em norma específica do Ministério da Agricultura, Pecuária e Abastecimento, devendo ser devidamente justificadas as exceções, nas solicitações dirigidas ao Departamento de Tecnologia da Informação da Secretaria-Executiva;

VIII - validade da autorização para utilização do serviço de Rede Privada Virtual vinculada à manutenção do vínculo do usuário com o Ministério da Agricultura, Pecuária e Abastecimento; e

IX - finalização automática da conexão em caso de inatividade de tráfego por tempo igual ou superior a quinze minutos.

CAPÍTULO V

DO CONTROLE DE ACESSO FÍSICO

Art. 11. Os setores de logística do Ministério da Agricultura, Pecuária e Abastecimento, em Brasília-DF e nos Estados, deverão implementar mecanismos de controle de acesso físico diferenciado de acordo com a criticidade de cada ambiente.

Art. 12. Caberá ao Departamento de Administração da Secretaria-Executiva aprovar norma dispondo sobre os requisitos de segurança para acesso às instalações do Ministério da Agricultura, Pecuária e Abastecimento, localizadas em Brasília-DF, exceto no que se refere à Superintendência Federal de Agricultura, Pecuária e Abastecimento no Distrito Federal.

§ 1º Para as Unidades do Ministério da Agricultura, Pecuária e Abastecimento localizadas fora do Distrito Federal, a aprovação da norma de que trata o caput caberá aos seguintes órgãos:

I - Secretaria de Defesa Agropecuária, para a normatização de acesso aos Laboratórios Federais de Defesa Agropecuária;

II - Coordenação-Geral de Apoio às Superintendências da Secretaria-Executiva, para a normatização de acesso às Superintendências Federais de Agricultura, Pecuária e Abastecimento, inclusive a localizada no Distrito Federal e às Unidades Técnicas Regionais de Agricultura;

III - Serviço Florestal Brasileiro, para a normatização de acesso às Unidades Regionais; e

IV - Secretaria de Inovação, Desenvolvimento Sustentável e Irrigação, para a normatização de acesso às Superintendências Regionais de Desenvolvimento da Lavoura Cacaueira nos Estados e aos Distritos de Meteorologia do Instituto Nacional de Meteorologia.

§ 2º Qualquer alteração na Norma Operacional aprovada para Brasília-DF, atualmente regulamentada pela Portaria SE nº 602, de 14 de abril de 2021, e Unidades nos Estados da Federação, deverá ser submetida ao Comitê de Segurança da Informação - CSI/MAPA, para aprovação prévia.

CAPÍTULO VI

DAS PENALIDADES

Art. 13. A não observância do disposto nesta Portaria poderá acarretar responsabilização penal, civil e administrativa do usuário, inclusive no que se refere a eventual quebra de segurança decorrente da utilização indevida de credencial de acesso lógico e físico.

CAPÍTULO VII

DAS DISPOSIÇÕES FINAIS

Art. 14. Caberá ao Comitê de Segurança da Informação - CSI/MAPA aprovar as alterações posteriores à Política de Gestão de Controle de Acesso Lógico e Físico de que trata esta Portaria, por meio de Resolução, em reunião extraordinária, que delibere especificamente sobre este tema.

Art. 15. Os casos omissos deverão ser submetidos ao Comitê de Segurança da Informação - CSI/MAPA, para deliberação.

PORTARIA MAPA Nº 528, DE 8 DE DEZEMBRO DE 2022

Aprova, no âmbito do Ministério da Agricultura, Pecuária e Abastecimento, a Política do Uso Seguro de Computação em Nuvem.

O MINISTRO DE ESTADO DA AGRICULTURA, PECUÁRIA E ABASTECIMENTO, no uso da atribuição que lhe confere o art. 87, inciso II, da Constituição Federal, e tendo em vista o disposto no Decreto nº 9.637, de 26 de dezembro de 2018, na Instrução Normativa GSI/PR nº 1, de 27 de maio de 2020, na Instrução Normativa GSI/PR nº 5, de 30 de agosto de 2021, na Portaria MAPA nº 136, de 25 de maio de 2021, e o que consta do Processo nº 21000.031810/2022-00, resolve:

Art. 1º Fica aprovada, no âmbito do Ministério da Agricultura, Pecuária e Abastecimento, a Política do Uso Seguro de Computação em Nuvem, na forma do Anexo desta Portaria.

Art. 2º Esta Portaria entra em vigor em 2 de janeiro de 2023.

MARCOS MONTES

ANEXO

POLÍTICA DO USO SEGURO DE COMPUTAÇÃO EM NUVEM DO MINISTÉRIO DA AGRICULTURA, PECUÁRIA E ABASTECIMENTO

CAPÍTULO I

DAS DISPOSIÇÕES PRELIMINARES

Seção I

Da finalidade

Art. 1º A Política do Uso Seguro de Computação em Nuvem tem como finalidade estabelecer os requisitos mínimos de segurança da informação para a utilização de soluções em nuvem no ambiente cibernético do Ministério da Agricultura, Pecuária e Abastecimento.

Parágrafo único. Para fins desta Portaria, serão considerados os conceitos constantes do Glossário de Segurança da Informação da Portaria GSI/PR nº 93, de 18 de outubro de 2021, da Política de Segurança da Informação da Portaria MAPA nº 136, de 25 de maio de 2021, e do Código de Conduta Ética dos Agentes Públicos do Ministério da Agricultura, Pecuária e Abastecimento da Portaria MAPA nº 249, de 22 de fevereiro de 2018.

Seção II

Da abrangência

Art. 2º A Política do Uso Seguro de Computação em Nuvem abrangerá todos os órgãos de assistência direta e imediata do Ministro de Estado da Agricultura, Pecuária e Abastecimento, os órgãos específicos singulares e os órgãos colegiados constantes da estrutura regimental do Ministério da Agricultura, Pecuária e Abastecimento.

§ 1º Os contratos relativos a tecnologia da informação, firmados pelo Ministério da Agricultura, Pecuária e Abastecimento, deverão conter cláusulas que determinem a observância desta Política do Uso Seguro de Computação em Nuvem por parte do contratado, bem como de seus dirigentes, prepostos, administradores, representantes e colaboradores, em especial, no que se refere ao disposto no art. 19 da Instrução Normativa GSI/PR nº 5, de 30 de agosto de 2021.

§ 2º As entidades vinculadas do Ministério da Agricultura, Pecuária e Abastecimento deverão editar suas respectivas políticas do Uso Seguro de Computação em Nuvem.

CAPÍTULO II

DOS OBJETIVOS E DA META

Seção I

Dos objetivos

Art. 3º São objetivos da Política do Uso Seguro de Computação em Nuvem:

I - promover a alta disponibilidade dos serviços de tecnologia da informação do Ministério da Agricultura, Pecuária e Abastecimento com base nos princípios da segurança da informação;

II - aumentar o desempenho e a resiliência dos sistemas de tecnologia da informação do Ministério da Agricultura, Pecuária e Abastecimento com base nos princípios da segurança da informação;

III - colaborar com a gestão de continuidade de negócios em segurança da informação;

IV - oferecer suporte tempestivo às iniciativas do Governo Digital;

V - otimizar custos de infraestrutura e de serviços de tecnologia da informação; e

VI - proteger os ativos de informação do Ministério da Agricultura, Pecuária e Abastecimento de acessos não autorizados, bem como de situações, acidentais ou ilícitas, que ocasionem sua destruição, perda ou alteração.

Seção II

Da meta

Art. 4º A meta da Política do Uso Seguro de Computação em Nuvem é reduzir a indisponibilidade dos serviços que forem migrados para o ambiente cibernético de nuvem em 50% (cinquenta por cento), no período de dois anos, a contar da entrada em vigor desta Portaria.

CAPÍTULO III

DOS REQUISITOS PARA A ADOÇÃO SEGURA DE COMPUTAÇÃO EM NUVEM

Seção I

Da transferência de serviços para provedores de serviço em nuvem

Art. 5º Qualquer contratação de soluções de computação em nuvem para transferência de serviços ou informações do Ministério da Agricultura, Pecuária e Abastecimento deverá observar os requisitos mínimos dispostos no art. 11 da Instrução Normativa GSI/PR nº 5, de 2021, condicionando-se, ainda, à implementação, no mínimo, dos controles atualmente existentes no ambiente cibernético On-Premise do Ministério da Agricultura, Pecuária e Abastecimento.

§ 1º A fase de planejamento da contratação de solução de computação em nuvem deverá ser realizada pela equipe designada para este fim, com supervisão de responsável técnico do Departamento de Tecnologia da Informação da Secretaria-Executiva do Ministério da Agricultura, Pecuária e Abastecimento, cuja versão final deverá ser submetida à aprovação do Comitê de Segurança da Informação do Ministério da Agricultura, Pecuária e Abastecimento.

§ 2º Em regra, as informações tomadas como classificadas nos termos dos arts. 23 e 24 da Lei nº 12.527, de 18 de novembro de 2011, não poderão ser hospedadas em soluções de computação em nuvem.

§ 3º As demais informações, inclusive as sigilosas protegidas por legislação específica conforme disposto no Anexo da Instrução Normativa GSI PR nº 5, de 2021, e as informações pessoais, na forma definida pela Lei nº 13.709, de 14 de agosto de 2018, e nos arts. 55 a 61 do Decreto nº 7.724, de 16 de maio de 2012, bem como o documento preparatório previsto no art. 20 do referido Decreto, excetuados os casos em que o documento preparatório possa originar informação classificada, poderão ser hospedadas em soluções de computação em nuvem, observados os riscos de segurança da informação e a legislação vigente.

Seção II

Da capacidade do provedor de serviço em nuvem para implementar atualizações

Art. 6º Os critérios e a periodicidade de atualizações, por parte do provedor de serviço em nuvem, deverão ser definidos no contrato de prestação de serviços, nos termos do art. 12 da Instrução Normativa GSI/PR nº 5, de 2021.

Seção III

Do gerenciamento de identidades e de registros (logs)

Art. 7º O gerenciamento de identidades e de registros deverá observar o disposto no art. 13 da Instrução Normativa GSI/PR nº 5, de 2021.

Seção IV

Do uso de recursos criptográficos

Art. 8º O uso de recursos criptográficos deverá observar o disposto no art. 14 da Instrução Normativa GSI PR nº 5, de 2021.

Parágrafo único. A definição dos requisitos criptográficos mínimos, para o armazenamento de dados e informações custodiados pelo Ministério da Agricultura, Pecuária e Abastecimento em soluções de computação em nuvem, será definido a partir de critérios técnicos produzidos pelo Departamento de Tecnologia da Informação da Secretaria-Executiva do Ministério da Agricultura, Pecuária e Abastecimento, e deverá ser submetido à aprovação do Comitê de Segurança da Informação do Ministério da Agricultura, Pecuária e Abastecimento.

Seção V

Da segregação de dados e da separação lógica

Art. 9º A segregação de dados e a separação lógica em ambiente de computação em nuvem deverão observar o disposto no art. 15 da Instrução Normativa GSI PR nº 5, de 2021.

Seção VI

Do gerenciamento da nuvem

Art. 10. O gerenciamento da nuvem deverá observar o disposto no art. 16 da Instrução Normativa GSI/PR nº 5, de 2021.

Seção VII

Do tratamento da informação

Art. 11. O tratamento da informação em ambiente de computação em nuvem deverá observar o disposto nos arts. 17 e 18 da Instrução Normativa GSI/PR nº 5, de 2021, bem como o art. 5º desta Política do Uso Seguro de Computação em Nuvem.

Parágrafo único. A infringência ao disposto no inciso II do art. 17 da Instrução Normativa GSI/PR nº 5, de 2021, sujeitará o responsável a sanções administrativas, cíveis e penais, nos termos da legislação vigente.

Seção VIII

Das cláusulas contratuais específicas

Art. 12. As contratações com provedores de serviço em nuvem no âmbito do Ministério da Agricultura, Pecuária e Abastecimento, a partir da publicação desta Portaria, deverão observar o alinhamento entre a Instrução Normativa ME nº 1, de 4 de abril de 2019, e os requisitos previstos no art. 19 da Instrução Normativa GSI/PR nº 5, de 2021.

Parágrafo único. A aquisição de serviços ou produtos de infraestrutura de computação em nuvem será priorizada, salvo quando demonstrada sua inviabilidade em estudo técnico preliminar de contratação, nos termos da Instrução Normativa GSI/PR nº 1, de 2019.

Seção IX

Do uso compartilhado de dados em nuvem

Art. 13. O compartilhamento e o armazenamento de dados e informações em escritório em nuvem deverão observar o disposto no art. 11 desta Política do Uso Seguro de Computação em Nuvem, assegurando a utilização de recurso de Canal Privado para troca de mensagens e de funcionalidade autorizada pelo Departamento de Tecnologia da Informação da Secretaria-Executiva do Ministério da Agricultura, Pecuária e Abastecimento, em caso de compartilhamento de informação.

Seção X

Do e-mail

Art. 14. O serviço de e-mail corporativo do Ministério da Agricultura, Pecuária e Abastecimento utilizará, preferencialmente, a solução em nuvem e na hipótese de envolver dados e informações que se enquadrem na restrição de acesso mencionada na alínea "a" do inciso III do art. 17 da Instrução Normativa GSI/PR nº 5, de 2021, o uso do serviço de e-mail deverá, ainda, observar os seguintes requisitos:

I - vedação a sua exposição no corpo do e-mail; e

II - caso anexadas ao e-mail, utilização do recurso criptográfico definido nos termos do parágrafo único do art. 8º desta Política de Uso Seguro de Computação em Nuvem.

CAPÍTULO IV

DOS REQUISITOS DO PROVEDOR DE SERVIÇO DE NUVEM

Art. 15. Para habilitar-se a prestar serviço de computação em nuvem para o Ministério da Agricultura, Pecuária e Abastecimento, o provedor de serviço deverá cumprir o disposto no art. 20 da Instrução Normativa GSI/PR nº 5, de 2021.

Parágrafo único. No caso de contração por meio de cloud broker (plataforma de gestão multinuvem para realizar procedimentos de provisionamento e orquestração do ambiente), deverão ser cumpridos ainda os requisitos previstos nos arts. 22 e 23 da Instrução Normativa GSI/PR nº 5, de 2021.

CAPÍTULO V

DAS RESPONSABILIDADES

Seção I

Do Comitê de Segurança da Informação do Ministério da Agricultura, Pecuária e Abastecimento

Art. 16. Competirá ao Comitê de Segurança da Informação do Ministério da Agricultura, Pecuária e Abastecimento:

I - estabelecer os países nos quais dados e informações custodiadas pelo Ministério da Agricultura, Pecuária e Abastecimento não poderão ser armazenados em soluções de computação em nuvem, caso venham a ocorrer;

II - analisar, em caráter conclusivo, as minutas de elaboração e de revisões do ato normativo sobre o uso seguro de computação em nuvem; e

III - deliberar, naquilo que couber, nas hipóteses elencadas nos arts. 5º, 7º, 10 e 19 desta Política de Uso Seguro de Computação em Nuvem.

Seção II

Do Gestor de Segurança da Informação do Ministério da Agricultura, Pecuária e Abastecimento

Art. 17. Competirá ao Gestor de Segurança da Informação do Ministério da Agricultura, Pecuária e Abastecimento:

I - supervisionar a aplicação do ato normativo sobre uso seguro de computação em nuvem;

II - assegurar a efetividade da comunicação entre o Departamento de Tecnologia da Informação da Secretaria-Executiva do Ministério da Agricultura, Pecuária e Abastecimento e o provedor de serviço de nuvem de forma a garantir que os controles e os níveis de serviço acordados sejam cumpridos;

III - supervisionar a aplicação das medidas de correção pelo provedor de serviço de nuvem, em casos de eventuais desvios noticiados pelo Departamento de Tecnologia da Informação da Secretaria-Executiva do Ministério da Agricultura, Pecuária e Abastecimento;

IV - assegurar a efetividade da comunicação de incidentes cibernéticos entre os órgãos competentes e o Departamento de Tecnologia da Informação da Secretaria-Executiva do Ministério da Agricultura, Pecuária e Abastecimento; e

V - encaminhar para aprovação da alta administração as minutas de elaboração e de revisões da política de uso seguro de computação em nuvem aprovadas no âmbito do Comitê de Segurança da Informação do Ministério da Agricultura, Pecuária e Abastecimento.

Parágrafo único. Na hipótese dos incisos II e IV do caput, caberá ao Departamento de Tecnologia da Informação da Secretaria Executiva do Ministério da Agricultura, Pecuária e Abastecimento operacionalizar a comunicação com o provedor de serviço de nuvem e os órgãos competentes, respectivamente.

CAPÍTULO VI

DAS PENALIDADES

Art. 18. A não observância do disposto nesta Portaria poderá acarretar responsabilização penal, civil e administrativa do responsável.

CAPÍTULO VII

DA REVISÃO DA POLÍTICA DO USO SEGURO DE COMPUTAÇÃO EM NUVEM

Art. 19. Caberá ao Comitê de Segurança da Informação - CSI/MAPA, sob a coordenação do Gestor de Segurança da Informação, aprovar as alterações posteriores à Política de Gestão de Controle de Acesso Lógico e Físico de que trata esta Portaria, por meio de Resolução, em reunião extraordinária, que delibere especificamente sobre este tema.

Parágrafo único. A periodicidade de revisão não deverá exceder 2 (dois) anos, nos termos do inciso V do art. 5º da Instrução Normativa GSI/PR nº 5, de 2021.

CAPÍTULO VIII

DAS DISPOSIÇÕES FINAIS

Art. 20. Os casos omissos deverão ser submetidos ao Comitê de Segurança da Informação do Ministério da Agricultura, Pecuária e Abastecimento para deliberação.

Leis e normativos aplicáveis aos serviços e aplicativos do Governo Federal