Portaria nº 9, de 12 de julho de 2021 e 2 Anexos
Banco Central do Brasil
Conselho de Controle de Atividades Financeiras
Portaria nº 9, de12 de julho de 2021
Dispõe sobre a Política de Segurança da Informação e Comunicação - Posic do Conselho de Controle de Atividades Financeiras - Coaf.
O presidente do Conselho de Controle de Atividades Financeiras - Coaf, no uso das atribuições que lhe conferem os incisos II, IV e V do art. 9º do Estatuto aprovado pelo Decreto nº 9.663, de 1º de janeiro de 2019, mantido em vigor na forma do art. 9º da Lei nº 13.901, de 11 de novembro de 2019, no que compatível com a Lei nº 13.974, de 7 de janeiro de 2020, tendo em vista o disposto no inciso II do art. 15 do Decreto nº 9.637, de 26 de dezembro de 2018, no art. 9º da Instrução Normativa GSI nº 1, de 27 de maio de 2020, bem como na Resolução Coaf nº 38, de 20 de abril de 2021, e conforme o aprovado pelo Comitê de Gestão e Governança - CGG do Coaf em sua reunião ordinária de 15 e 18 de junho de 2021, estabelece:
Art. 1º Esta Portaria dispõe sobre a Política de Segurança da Informação e Comunicação - Posic do Coaf, que tem por finalidade evitar que os riscos aos quais se sujeitam informações e ativos de informação do órgão comprometam a execução de suas atividades ou o cumprimento de sua missão institucional.
Parágrafo único. A Posic deve ser mantida e implementada de forma contínua, buscando manter o alinhamento com a evolução da tecnologia e de seus riscos, identificando os fatores internos e externos que podem impactar no alcance dos objetivos do Coaf.
Art. 2º A Posic abrange, em seu escopo, informações e ativos de informação do Coaf, bem como quaisquer pessoas que a eles tenham acesso, processos de trabalho, conhecimentos tácitos e explícitos, projetos, ações e atividades laborais que tenham relação com atribuições institucionais do órgão, dentro ou fora de suas instalações.
Art. 3º A Posic é regida pelos princípios de disponibilidade, integridade, confidencialidade, autenticidade, irretratabilidade e necessidade de conhecer.
Art. 4º Para os efeitos desta Portaria, são considerados, no que couber, os conceitos e definições constantes em glossário de segurança da informação adotado pelo Gabinete de Segurança Institucional da Presidência da República.
Art. 5º A Posic deve ser conhecida e observada por todos os integrantes do Coaf e, no que couber, por prestadores de serviço e visitantes.
§ 1º Os integrantes do Coaf serão responsáveis pela segurança das informações e dos ativos de informação de que trata o art. 10, aos quais somente poderão ter acesso mediante assinatura de Termo de Responsabilidade, na forma do Anexo I desta Portaria, bem como pelos acessos realizados com sua identificação pessoal.
§ 2º Prestadores de serviço e visitantes que necessitarem acessar informações ou ativos de informação de que trata o art. 10 deverão ser devidamente autorizados e assinar Termo de Responsabilidade, na forma do Anexo II desta Portaria.
Art. 6º A Posic deve ser observada em qualquer processo de admissão, cessão, requisição, alocação, transferência, remanejamento, promoção, substituição, afastamento, sucessão e desligamento de integrantes do Coaf e, no que couber, de prestadores de serviço.
Art. 7º A gestão de segurança da informação e comunicação contemplará os seguintes processos, de modo proporcional aos riscos envolvidos e recursos disponíveis, considerando no que couber orientações normativas aplicáveis:
I - mapeamento de ativos de informação;
II - gestão de riscos;
III - gestão de continuidade de negócios;
IV - gestão de mudanças; e
V - avaliação de conformidade.
Art. 8º A execução da Posic pode envolver controles como os seguintes, de modo proporcional aos riscos envolvidos e recursos disponíveis, considerando no que couber orientações normativas aplicáveis:
I - classificação;
II - compartimentação;
III - controle de acesso;
IV - criptografia;
V - monitoramento;
VI - registros (documentos, logs, imagens, áudios, vídeos, entre outros);
VII - trilhas de auditoria; e
VIII - credencial de segurança. Parágrafo único. Regras de restrição de acesso devem ser observadas independentemente de controles adotados para sua proteção.
Art. 9º A edição de normas, manuais e orientações de natureza operacional de interesse do Coaf, bem como a celebração de contratos, acordos e convênios firmados com pessoas físicas ou entidades públicas ou privadas, deve considerar, no que couber, o disposto nesta Portaria.
Art. 10. Informações sujeitas a regime de restrição de acesso, sensíveis ou que, por sua utilização ou finalidade, demandarem proteção, bem como equipamentos, sistemas e locais onde elas se encontrem, só poderão ser acessadas por pessoas autorizadas. Parágrafo único. Medidas e procedimentos de segurança próprios poderão ser adotados para proteção de informações e ativos de informação sujeitos a regime de restrição de acesso ou a classificação de sigilo nos termos da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação - LAI).
Art. 11. Deve-se dedicar especial atenção à mitigação de riscos à segurança da informação na entrada e na saída de pessoas, documentos, objetos e materiais nas áreas e nas instalações do Coaf.
§ 1º Áreas de acesso restrito devem ser isoladas fisicamente das áreas de acesso público ou, quando inviável, devem ser objeto de medidas complementares para mitigação de riscos.
§ 2º Pessoas que não integrem o Coaf devem estar acompanhadas por integrante do órgão enquanto permanecerem em ambiente de acesso restrito.
Art. 12. A Posic deve ser considerada na disponibilização e na utilização de recursos de Tecnologia da Informação e Comunicação - TIC para a execução das atividades do Coaf, notadamente meios de armazenamento, transmissão e processamento de informação, bem como equipamentos e sistemas necessários para tanto.
Parágrafo único. É vedado o emprego de recursos de TIC de que trata o caput em finalidade incompatível com os objetivos institucionais, notadamente para constranger, assediar, ofender, caluniar, ameaçar ou causar prejuízos de ordem moral, econômica ou financeira a qualquer pessoa física ou jurídica, ou para veicular opiniões de cunho estritamente pessoal, religioso ou político-partidário.
Art. 13. Os recursos de TIC do Coaf devem ser utilizados mediante identificação pessoal e intransferível. Art. 14. Com vistas a assegurar a aderência a esta Posic, o tratamento das informações relacionadas às atividades institucionais do Coaf deve ser realizado em ambiente provido pelo órgão.
Parágrafo único. É vedado o tratamento de de informações sujeitas a regime jurídico próprio, a exemplo de informações de inteligência financeira, em ambiente distinto do especificado para tal finalidade.
Art. 15. O acesso a sítios, e-mails, sistemas e serviços por recursos de TIC providos pelo Coaf pode ser restringido por razões de segurança da informação ou para assegurar seu uso racional.
Art. 16. Os perfis de acesso aos recursos de TIC devem ser disponibilizados no menor nível necessário à realização das atividades.
Art. 17. O acesso remoto aos recursos de TIC do Coaf deve ser realizado por meio de solução segura, de uso controlado e autorizado.
Parágrafo único. Os usuários com acesso remoto devem realizá-lo de ambiente seguro, que garanta a preservação de regime de restrição de acesso aplicável, bem como a não utilização de recursos de TIC do Coaf e do perfil de acesso remoto por pessoas não autorizadas.
Art. 18. Os recursos de TIC disponibilizados para uso externo, quando devolvidos ou antes de serem conectados à rede local, devem passar por inspeção de segurança.
Art. 19. Os ativos de informação destinados a descarte, em papel ou outros suportes, devem ser devidamente inutilizados.
Parágrafo único. Os equipamentos e materiais que contenham memória interna devem ter as informações relacionadas a atividades do Coaf definitivamente excluídas antes do seu encaminhamento para manutenção ou descarte.
Art. 20. O uso de recursos de TIC providos pelo Coaf é passível de monitoramento e auditoria, devendo ser implementados e mantidos mecanismos que permitam a sua rastreabilidade.
§ 1º O acesso aos registros ou logs relativos a atividades de usuários e ao uso de recursos de TIC do Coaf somente pode ser disponibilizado, mediante justificativa fundamentada, a:
I - integrante do CGG e integrante do Quadro Técnico do Coaf por ele autorizado; e
II - integrante do Coaf incumbido regimentalmente de atividade de caráter ético, correcional ou de controle interno.
§ 2º O conteúdo das comunicações, arquivos, bases de dados e mensagens armazenado, transitado ou gerado pelo uso de recursos de TIC providos pelo Coaf pode ser analisado com o auxílio de soluções de proteção de dados, a exemplo de ferramentas de antivírus, DLP (Data Loss Prevention) e filtros anti spam.
§ 3º A proteção da privacidade não é assegurada no uso de recursos de TIC providos pelo Coaf para fins estranhos aos objetivos institucionais e, em todo caso, não obsta a aplicação do disposto neste artigo.
Art. 21. A gestão de segurança da informação e comunicação no âmbito do Coaf tem a seguinte estrutura, incumbida de exercer, no que couber, as atribuições previstas na legislação aplicável:
I - CGG, que atuará como Comitê de Segurança da Informação;
II - Gestor de Segurança da Informação - Geseg; e
III - Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos - Etir.
§ 1º O Geseg e os membros da Etir serão designados pelo Presidente do Coaf dentre os integrantes do Quadro Técnico com formação ou capacitação técnica compatível com suas atribuições.
§ 2º A Etir pode contar com auxílio técnico externo ao Coaf, observadas as demais disposições desta Posic.
Art. 22. Os titulares dos componentes organizacionais do Coaf ficam incumbidos de definir níveis de acesso a informações e ativos de informação sob sua responsabilidade.
Parágrafo único. Cabe ao CGG definir níveis de acesso em relação a seus integrantes.
Art. 23. A Coordenação-Geral de Tecnologia da Informação - Cotin e a Coordenação-Geral de Desenvolvimento Institucional - Codes ficam incumbidas de, no âmbito de suas atribuições:
I - coordenar a implantação de ações necessárias para assegurar a proteção física de áreas e instalações e, em relação às informações disponíveis em meios digitais, a disponibilidade, integridade, confidencialidade, autenticidade, irretratabilidade e o acesso baseado na necessidade de conhecer;
II - implementar, em articulação com os componentes organizacionais responsáveis, níveis de acesso a informações e ativos de informação;
III - propor ao CGG normas complementares para implementação da Posic; e
IV - supervisionar serviços realizados por terceiros.
Art. 24. A Coordenação-Geral de Gestão de Riscos Institucionais - Coris fica incumbida de gerir e executar atividades relacionadas a elaboração e articulação de políticas e medidas de gestão de riscos, segurança institucional e proteção do conhecimento sensível sob domínio do Coaf, em alinhamento com a Posic
Art. 25. Todos os integrantes do Coaf devem:
I - zelar pelo cumprimento da Posic;
II - dar ciência à chefia imediata e ao Geseg, à Cotin ou à Codes de qualquer fato ou situação que possa pôr em risco a segurança da informação no âmbito do Coaf; e
III - contribuir para o desenvolvimento da cultura de segurança da informação e aperfeiçoamento da Posic, em seu âmbito de atuação.
Parágrafo único. Os integrantes do Coaf são responsáveis pelos acessos realizados com sua identificação pessoal e por observar esta Posic ao lidar com informações ou ativos de informação.
Art. 26. Ações que violem a Posic podem acarretar, isolada ou cumulativamente, sanções administrativas, civis e penais, assegurados o contraditório e a ampla defesa, nos termos da legislação aplicável.
Art. 27. No prazo de 60 dias a contar da entrada em vigor desta Portaria, aqueles que já integrem o Coaf devem assinar novo Termo de Responsabilidade, para efeitos do art. 5º, na forma do Anexo I. Art. 28.
A Posic deve ser revisada a cada 4 (quatro) anos ou, a qualquer tempo, por deliberação do CGG ou por determinação do Presidente.
Art. 29. Esta Portaria entra em vigor em 2 de agosto de 2021.
RICARDO LIÁO
ANEXO I
TERMO DE RESPONSABILIDADE
Por este Termo de Responsabilidade, declaro-me ciente de que:
- as normas gerais relativas à segurança da informação no âmbito do Conselho de Controle de Atividades Financeiras - Coaf estão consignadas em sua Política de Segurança da Informação e Comunicação - Posic, estabelecida por meio da Portaria Coaf nº 9, de 12 de julho de 2021, da qual tomei pleno conhecimento;
- a inobservância a regras de confidencialidade ou restrição de acesso a informações ou ativos de informação do Coaf e ações que violem a Posic poderão acarretar, isolada ou cumulativamente, sanções administrativas, civis e penais, inclusive as previstas no art. 325 do Código Penal[1], assegurados o contraditório e a ampla defesa, nos termos da legislação aplicável; e
- conforme o disposto no art. 8º da Lei nº 13.974, de 7 de janeiro de 2020, aos "integrantes da estrutura do Coaf é vedado [...] fornecer ou divulgar informações conhecidas ou obtidas em decorrência do exercício de suas funções a pessoas que não disponham de autorização legal ou judicial para acessá-las".
Assim sendo, comprometo-me a cumprir as regras, diretrizes, determinações e recomendações contidas na mencionada Posic e na legislação correlata, responsabilizando[1]me pelo uso que fizer de informações relacionadas a atribuições do Coaf e dos seus ativos de informação.
Data e assinatura________________________
[1] “Art. 325 - Revelar fato de que tem ciência em razão do cargo e que deva permanecer em segredo, ou facilitar-lhe a revelação:
Pena - detenção, de seis meses a dois anos, ou multa, se o fato não constitui crime mais grave.
§ 1º Nas mesmas penas deste artigo incorre quem: [incluído pela Lei nº 9.983, de 14 de julho de 2000]
I - permite ou facilita, mediante atribuição, fornecimento e empréstimo de senha ou qualquer outra forma, o acesso de pessoas não autorizadas a sistemas de informações ou banco de dados da Administração Pública; [incluído pela Lei nº 9.983, de 2000]
II - se utiliza, indevidamente, do acesso restrito. [Incluído pela Lei nº 9.983, de 2000]
§ 2º Se da ação ou omissão resulta dano à Administração Pública ou a outrem: [incluído pela Lei nº 9.983, de 2000]
Pena - reclusão, de 2 (dois) a 6 (seis) anos, e multa. [incluído pela Lei nº 9.983, de 2000]”.
ANEXO II TERMO DE RESPONSABILIDADE
Por este Termo de Responsabilidade, declaro-me ciente de que:
- as normas gerais relativas à segurança da informação no âmbito do Conselho de Controle de Atividades Financeiras - Coaf estão consignadas em sua Política de Segurança da Informação e Comunicação - Posic, estabelecida por meio da Portaria Coaf nº 9, de 12 de julho de 2021, a cujo inteiro teor tive acesso; e
- a inobservância a regras de confidencialidade ou restrição de acesso a informações ou ativos de informação do Coaf e ações que violem a Posic poderão acarretar, isolada ou cumulativamente, sanções administrativas, civis e penais, inclusive as previstas em disposições como as dos arts. 153, § 1º-A, e 325 do Código Penal[2], assegurados o contraditório e a ampla defesa, nos termos da legislação aplicável.
Assim sendo, comprometo-me a cumprir as regras, diretrizes, determinações e recomendações contidas na mencionada Posic e na legislação correlata, responsabilizando-me pelo uso que fizer de informações relacionadas a atribuições do Coaf e dos seus ativos de informação.
Data e assinatura_______________________
[2]
“Divulgação de segredo Art. 153 - Divulgar alguém, sem justa causa, conteúdo de documento particular ou de correspondência confidencial, de que é destinatário ou detentor, e cuja divulgação possa produzir dano a outrem:
Pena - detenção, de um a seis meses, ou multa, de trezentos mil réis a dois contos de réis.
§ 1º Somente se procede mediante representação. [parágrafo único renumerado pela Lei nº 9.983, de 14 de julho de 2000]
§ 1º-A. Divulgar, sem justa causa, informações sigilosas ou reservadas, assim definidas em lei, contidas ou não nos sistemas de informações ou banco de dados da Administração Pública: [incluído pela Lei nº 9.983, de 2000]
Pena - detenção, de 1 (um) a 4 (quatro) anos, e multa. [incluído pela Lei nº 9.983, de 2000]
§ 2º Quando resultar prejuízo para a Administração Pública, a ação penal será incondicionada. [incluído pela Lei nº 9.983, de 2000]
[...]
Violação de sigilo funcional
Art. 325 - Revelar fato de que tem ciência em razão do cargo e que deva permanecer em segredo, ou facilitar-lhe a revelação:
Pena - detenção, de seis meses a dois anos, ou multa, se o fato não constitui crime mais grave.
§ 1º Nas mesmas penas deste artigo incorre quem: [incluído pela Lei nº 9.983, de 2000]
I - permite ou facilita, mediante atribuição, fornecimento e empréstimo de senha ou qualquer outra forma, o acesso de pessoas não autorizadas a sistemas de informações ou banco de dados da Administração Pública; [incluído pela Lei nº 9.983, de 2000]
II - se utiliza, indevidamente, do acesso restrito. [incluído pela Lei nº 9.983, de 2000]
§ 2º Se da ação ou omissão resulta dano à Administração Pública ou a outrem: [incluído pela Lei nº 9.983, de 2000]
Pena - reclusão, de 2 (dois) a 6 (seis) anos, e multa. [incluído pela Lei nº 9.983, de 2000]."