PORTARIA MINC Nº 119, DE 5 DE DEZEMBRO DE 2011
Revogada pela Portaria nº 25, de 7 de abril de 2015
Institui a Política de Segurança da Informação e Comunicações do Ministério da Cultura e o Sistema de Segurança da Informação e Comunicações e dá outras providências.
A MINISTRA DE ESTADO DA CULTURA, no uso da atribuição que lhe confere o inciso II do parágrafo único do art. 87 da Constituição Federal, e considerando o disposto no inciso VII do art. 5º da Instrução Normativa Nº 1, de 13 de junho de 2008, do Gabinete de Segurança Institucional da Presidência da República, resolve:
Art. 1º Instituir a Política de Segurança da Informação e Comunicações do Ministério da Cultura - POSIC/MinC, estabelecendo diretrizes para o tratamento das informações produzidas, processadas, transmitidas ou armazenadas neste Ministério e em seus sistemas de informação.
CAPÍTULO I
DOS PRINCÍPIOS E OBJETIVOS
Art. 2º A POSIC/MinC está fundada no pressuposto de que a informação é um ativo de valor para a eficiente prestação dos serviços públicos, devendo ser adequadamente utilizada e protegida contra ameaças e riscos, sem prejuízo para a transparência da administração pública para com o cidadão.
Parágrafo único. Para efeitos de segurança da informação, as informações produzidas, adquiridas ou custodiadas sob responsabilidade do MinC são consideradas parte do seu patrimônio e como tal devem ser protegidas.
Art. 3º A segurança da informação e das comunicações são um conjunto de práticas e princípios que objetivam viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações.
§ 1º Confidencialidade é a característica da informação pela qual ela não esteja presumidamente disponível ou revelada a pessoas, sistemas, órgãos ou entidades não autorizados e credenciados.
§ 2º Integridade é a característica da informação indicativa de que ela não foi destruída ou modificada desde sua elaboração.
§ 3º Disponibilidade é a característica indicativa de que a informação está acessível e utilizável sob demanda por uma determinada pessoa, sistema, órgão ou entidade.
§ 4º Autenticidade é a característica que comprova que a informação foi produzida, expedida, modificada ou destruída por uma determinada pessoa, sistema, órgão ou entidade.
§ 5º Entende-se por Quebra de Segurança toda ação ou omissão que resulte em comprometimento da segurança da informação ou das comunicações, afetando-as em sua confidencialidade, integridade, disponibilidade ou autenticidade.
Art. 4º São objetivos da POSIC/MinC:
I - instituir o Sistema de Segurança da Informação do Ministério da Cultura;
II - dotar o Ministério da Cultura de instrumentos jurídicos, normativos e organizacionais que capacitem científica, tecnológica e administrativamente seus agentes, de modo a assegurar a segurança da informação e das comunicações;
III - eliminar a dependência externa em relação a sistemas, equipamentos, dispositivos e atividades vinculadas à segurança dos sistemas de informação; e
IV - nortear a elaboração das normas necessárias à efetiva implementação da segurança da informação.
Art. 5º As normas, procedimentos e ações de segurança da informação do Ministério da Cultura decorrentes desta Política de Segurança da Informação e Comunicações obedecerão aos seguintes princípios:
I - interoperabilidade entre os sistemas de informação;
II - continuidade dos processos e serviços essenciais para o funcionamento deste Ministério;
III - qualidade na prestação de serviços;
IV - publicidade da informação, salvo quando estritamente necessário para assegurar a privacidade e a intimidade do cidadão, ou para garantir a segurança do Estado e da sociedade, nos termos da lei;
V - garantia de confidencialidade, autenticidade, integridade e disponibilidade da informação; e
VI - privacidade das comunicações telefônicas e telemáticas.
CAPÍTULO II
DO SISTEMA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES
Art. 6º O Sistema de Segurança da Informação e Comunicações do Ministério da Cultura - SISIC/MinC - regula-se pela presente Política, bem como por Normas e Procedimentos de Segurança dela decorrentes.
§ 1º As Normas de Segurança estabelecerão padrões de tratamento de informações e obrigações gerais aos seus usuários, regulando os seguintes assuntos, entre outros:
I - modelos de gestão da informação;
II - gerenciamento de riscos;
III - tratamento de incidentes de rede;
IV - gestão de continuidade de serviços;
V - acesso a informações, áreas, instalações e sistemas de informação;
VI - classificação da informação;
VII - programas e ações de conscientização e educação em segurança da informação.
§ 2º Os Procedimentos de Segurança detalham, instrumentalizam e operacionalizam as disposições das Normas de Segurança, permitindo sua aplicação direta às atividades do ministério.
Art. 7º Compete ao Secretário-Executivo editar as Normas Gerais de Segurança.
Parágrafo único. Compete ao Diretor de Gestão Interna editar as normas específicas de procedimentos de segurança.
Seção I
Da Organização do Sistema
Art. 8º O SISIC/MinC será coordenado pelo Secretário-Executivo do Ministério da Cultura, cabendo-lhe decidir sobre a implantação de projetos na área de segurança da informação, bem como nos casos de descumprimento das diretrizes da POSIC/MinC e de suas Normas e Procedimentos de Segurança. Parágrafo único. Compete ao Secretário-Executivo designar o Gestor de Segurança da Informação de que trata o art. 11 e os Responsáveis por Informações de que trata o art. 12 desta Portaria.
Art. 9º O SISIC/MinC contará com um Comitê de Segurança da Informação e Comunicações - CSIC - incumbido de:
I - assessorar na implementação das ações de segurança da informação e comunicações do Ministério da Cultura;
II - receber e analisar notícias de violação da POSIC e suas Normas e Procedimentos, encaminhando-as ao Secretário-Executivo quando for o caso;
III - propor projetos e iniciativas relacionados à melhoria da segurança da informação do MinC;
IV - propor, aos ordenadores de despesa e autoridades superiores, o planejamento e a alocação de recursos financeiros, humanos e de tecnologia, no que tange à segurança da informação e comunicações;
V - acompanhar o andamento de projetos e iniciativas relacionados à segurança da informação, no âmbito deste Ministério e da Administração Pública Federal; e
VI - propor Normas e Procedimentos de Segurança da Informação e Comunicações às autoridades competentes para expedi-las no âmbito deste Ministério, bem como ajustes e aprimoramentos da POSIC/MinC.
§ 1º O CSIC terá a seguinte composição:
I - Coordenador-Geral de Tecnologia da Informação, que o coordenará;
II - Gestor de Segurança da Informação;
III - um representante da Coordenação-Geral de Gestão de Pessoas;
IV - um representante da Coordenação-Geral de Recursos Logísticos;
V - um representante da Coordenação-Geral de Atendimento, Documentação e Prestação de Contas; e
VI - um representante da Coordenação-Geral de Execução Orçamentária e Financeira.
§ 2º O CSIC reunir-se-á mensalmente, podendo haver convocação extraordinária, a critério do coordenador do Comitê.
§ 3º O Comitê deliberará por maioria simples, devendo as reuniões ser registradas em atas.
§ 4º De acordo com a necessidade, outros profissionais do Ministério da Cultura e convidados externos poderão participar das reuniões na condição de observadores ou colaboradores eventuais.
Art. 10. Será constituída Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais (ETIR) com a incumbência de:
I - realizar ações de análise de vulnerabilidade e estabelecer mecanismos de registro e controle de conformidade das rotinas e sistemas do Ministério da Cultura à POSIC/MinC e suas Normas e Procedimentos de Segurança, comunicando Quebras de Segurança e outras desconformidades ao Gestor de Segurança da Informação;
II - receber, analisar e responder a notificações relacionadas aos incidentes de Quebra de Segurança em computadores no âmbito do Ministério da Cultura, encaminhando-as ao Gestor de Segurança da Informação quando necessário;
III - gerenciar os sistemas de informação do Ministério da Cultura, incluindo os processos de concessão, manutenção, revisão e suspensão de acessos aos usuários; e
IV - apresentar ao CSIC relatórios periódicos sobre riscos relacionados à segurança da informação e comunicações, acompanhados de proposta de aperfeiçoamento dos sistemas de informação deste Ministério, quando for o caso;
Parágrafo único. A composição e rotinas de trabalho da ETIR serão definidas em Normas e Procedimentos de Segurança específicos.
Art. 11. A execução do SISIC/MinC ficará a cargo do Gestor de Segurança da Informação, servidor responsável pelas ações de segurança da informação e comunicações no âmbito do Ministério da Cultura, cabendo-lhe especialmente:
I - supervisionar o cumprimento e promover a divulgação da POSIC/MinC e suas Normas e Procedimentos;
II - requisitar informações às Unidades específicas do Ministério da Cultura;
III - coordenar a ETIR, bem como a realização de testes e averiguações em sistemas e equipamentos;
IV - prover todas as informações de gestão de segurança da informação solicitadas pelo CSIC; e
V - lavrar as atas das reuniões do CSIC.
Art. 12. Cada Unidade organizacional do Ministério da Cultura contará com um servidor designado como Responsável por Informações, que estará encarregado da concessão, manutenção, revisão e cancelamento de autorizações de acesso a instalações e sistemas de informações deste Ministério, bem como a documentos do Órgão ou sob sua guarda.
§ 1º O encargo de Responsável por Informações recairá preferencialmente sobre o Chefe da Unidade ou seu Assessor direto.
§ 2º A Norma de Segurança especificará as unidades que deverão contar com seus próprios Responsáveis por Informações.
Art. 13. Cabe ao Responsável por Informações:
I - elaborar matriz que relacione cargos em comissão e funções gratificadas sob sua subordinação às autorizações de acesso concedidas, observadas as diretrizes da POSIC/MinC e suas Normas e Procedimentos, bem como as disposições dos arts. 37 e 38 do Decreto Nº 4.553, de 27 de dezembro de 2002, quando se tratar de informações classificadas como sigilosas;
II - manter registro e controles atualizados das liberações de acesso concedidas, determinando, sempre que necessário, a pronta suspensão ou alteração de tais liberações;
III - reavaliar, sempre que necessário, as liberações de acesso concedidas, cancelando aquelas que não forem mais necessárias;
IV - analisar os relatórios da ETIR que sejam levados a seu conhecimento, com o objetivo de identificar desvios em relação à POSIC/MinC e suas Normas e Procedimentos, adotando as ações corretivas necessárias;
V - participar da investigação de incidentes de Quebra de Segurança relacionados a informação sob sua responsabilidade; e
VI - participar, sempre que convocado, das reuniões do CSIC, prestando os esclarecimentos solicitados. Seção II Dos Deveres para com a Segurança da Informação e das Comunicações.
Art. 14. São deveres dos dirigentes do Ministério da Cultura:
I - cumprir e fazer cumprir a Política, as Normas e os Procedimentos de Segurança da Informação e Comunicações;
II - assegurar que suas equipes possuam acesso e conhecimento da Política, das Normas e dos Procedimentos de Segurança da Informação;
III - propor Procedimentos de Segurança da Informação relacionados às suas áreas de competência, submetendo as propostas ao Comitê de Segurança da Informação; e
IV - comunicar imediatamente eventuais casos de violação de segurança da informação ao Comitê de Segurança da Informação e Comunicações ou a qualquer um de seus membros.
Art. 15. São deveres de todo servidor ou colaborador do Ministério da Cultura:
I - cumprir fielmente a Política, as Normas e os Procedimentos de Segurança da Informação deste Ministério;
II - buscar orientação do superior hierárquico imediato em caso de dúvidas relacionadas à segurança da informação;
III - assinar os termos de confidencialidade, responsabilidade e outros que venham a ser instituídos por Normas ou Procedimentos de Segurança, formalizando a ciência e o aceite da Política, das Normas e Procedimentos respectivos, bem como assumindo responsabilidade por seu fiel cumprimento;
IV - proteger as informações contra acesso, modificação, destruição ou divulgação não autorizados nos termos da POSIC/MinC e suas Normas e Procedimentos;
V - assegurar que os recursos tecnológicos a sua disposição sejam utilizados apenas para as finalidades aprovadas nos termos da POSIC/MinC, suas Normas e Procedimentos; e
VI - comunicar imediatamente, ao respectivo Responsável por Informação ou ao Gestor de Segurança da Informação, qualquer descumprimento ou violação da POSIC/MinC ou suas Normas e Procedimentos.
Parágrafo único. As Normas de Segurança poderão especificar os colaboradores sujeitos à POSIC/MinC, bem como definir obrigações adicionais a servidores e colaboradores.
CAPÍTULO III
DISPOSIÇÕES GERAIS
Art. 16. A POSIC/MinC e suas Normas e Procedimentos serão disponibilizados para consulta de todos os servidores e colaboradores na rede corporativa deste Ministério, sem prejuízo da publicação oficial.
Parágrafo único. Sem prejuízo da disponibilização a que se refere o caput, a POSIC/MinC será objeto de ampla divulgação a todos os servidores, sendo facultada a divulgação das Normas e Procedimentos de Segurança apenas ao público-alvo nelas definido.
Art. 17. Em caso de Quebra de Segurança, poderá o Gestor de Segurança da Informação, para garantir a continuidade e a normalidade dos serviços de rede, determinar restrições temporárias de acesso a informações ou a recursos computacionais deste Ministério.
Art. 18. Os casos omissos da POSIC/MinC que não sejam objeto de Norma ou Procedimento específico serão estudados pelo CSIC, para eventuais propostas na forma do inciso VI do art. 9º deste Instrumento Normativo.
Art. 19. Esta Portaria entra em vigor na data de sua publicação.
ANNA MARIA BUARQUE DE HOLLANDA
Este conteúdo não substitui o publicado no DOU, de 07.12.2011.