PORTARIA MINC Nº 25, DE 7 DE ABRIL DE 2015
Institui a Política de Segurança da Informação e Comunicações do Ministério da Cultura e o Sistema de Segurança da In-formação e Comunicações e dá outras pro-vidências.
O MINISTRO DE ESTADO DA CULTURA, no uso da atribuição que lhe confere o inciso II do parágrafo único do art. 87 da Constituição Federal, e considerando o disposto no inciso VII do art. 5º da Instrução Normativa Nº 1, de 13 de junho de 2008, do Gabinete de Segurança Institucional da Presidência da República, resolve:
Art. 1º Instituir a Política de Segurança da Informação e Comunicações do Ministério da Cultura - POSIC/MinC, norteando a diretrizes e normas para o tratamento das informações produzidas,processadas, transmitidas ou armazenadas neste Ministério e em seus sistemas de informação.
Art. 2º A POSIC/MinC é composta de:
I - diretrizes de segurança da informação e comunicações a serem editadas pelo Comitê Executivo de Tecnologia da Informação -CETI, instituído pela Portaria nº 39, de 30 de abril de 2013, do Ministério da Cultura; e
II - normas de segurança da informação e comunicações a serem editadas pelo Comitê de Segurança da Informação e Comunicações - CSIC.
Art. 2º A POSIC/MinC é composta de: (Redação dada pela Portaria MINC nº 3, de 17 de janeiro de 2017)
I - diretrizes de segurança da informação e comunicações a serem editadas por Comitê de Governança Digital - CGD - instituído pelo Ministro de Estado da Cultura na forma do art. 9º do Decreto nº 8.638, de 15 de janeiro de 2016; e
II - normas de segurança da informação e comunicações a serem editadas pelo Comitê de Segurança da Informação e Comunicações - CSIC.
CAPÍTULO I
DOS PRINCÍPIOS E OBJETIVOS
Art.3º As normas decorrentes desta POSIC/MinC obedecerão aos seguintes princípios:
I - interoperabilidade entre os sistemas de informação;
II - continuidade dos processos e serviços essenciais para o funcionamento deste Ministério;
III - qualidade na prestação de serviços;
IV - publicidade da informação, salvo quando estritamente necessário para assegurar a privacidade e a intimidade do cidadão, ou para garantir a segurança do Estado e da sociedade, nos termos da lei;
V - garantia de confidencialidade, integridade, disponibilidade e autenticidade da informação; e
VI - privacidade das comunicações telefônicas e telemáticas.
Art. 4º São objetivos da POSIC/MinC:
I - instituir o Sistema de Segurança da Informação e Comunicações do Ministério da Cultura - SISIC;
II - dotar o Ministério da Cultura de instrumentos jurídicos, normativos e organizacionais que capacitem científica, tecnológica e administrativamente seus agentes, de modo a assegurar a segurança da informação e comunicações;
III - eliminar a dependência externa em relação a sistemas, equipamentos, dispositivos e atividades vinculadas à segurança dos sistemas de informação; e
IV - nortear a elaboração das normas necessárias à efetiva implementação da segurança da informação.
CAPÍTULO II
DO SISTEMA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES
Art. 5º O SISIC regula-se pela presente POSIC/MinC, bem como por diretrizes e normas e os procedimentos dela decorrentes.
§ 1º As diretrizes de segurança da informação e comunicações são um conjunto de regras gerais que objetivam assegurar a confidencialidade, integridade, disponibilidade e autenticidade das informações.
§ 2º As normas de segurança visam estabelecer procedimentos para acesso e manipulação de informações e obrigações gerais aos seus usuários, regulando os seguintes assuntos, entre outros:
I - modelos de gestão da informação;
II - gerenciamento de riscos;
III - tratamento de incidentes de rede;
IV - gestão de continuidade de serviços;
V - acesso a informações, áreas, instalações e sistemas de informação;
VI - classificação da informação;
VII - programas e ações de conscientização e educação em segurança da informação.
Seção I
Da Organização do Sistema
Art. 6º O SISIC será coordenado pelo CSIC, cabendo-lhe decidir sobre a implantação de projetos na área de segurança da informação, bem como nos casos de descumprimento das diretrizes da POSIC/MinC e de suas normas e procedimentos.
Parágrafo único. Compete ao Secretário-Executivo designar o Gestor de Segurança da Informação de que trata o art. 9º e os Responsáveis por Informações de que tratam os arts. 10 e 11 desta Portaria.
Art. 7º Cabe ao CSIC:
I - assessorar na implementação das ações de segurança da informação e comunicações do Ministério da Cultura;
II - receber e analisar notícias de violação da POSIC/MinC e suas normas e procedimentos, encaminhando-as ao Secretário-Executivo quando for o caso;
III - propor projetos e iniciativas relacionados à melhoria da segurança da informação e comunicações do Ministério da Cultura;
IV - propor, aos ordenadores de despesa e autoridades superiores, o planejamento e a alocação de recursos financeiros, humanos e de tecnologia, no que tange à segurança da informação e comunicações;
V - acompanhar o andamento de projetos e iniciativas relacionados à segurança da informação e comunicações, no âmbito deste Ministério;
VI - expedir normas e definir procedimentos de segurança da informação e comunicações, bem como dar publicidade aos mesmos; e
VII - propor ajustes e aprimoramentos nas diretrizes desta POSIC/MinC, sempre que julgar necessário.
§1º O CSIC terá a seguinte composição:
I - Coordenador-Geral de Tecnologia da Informação, que o coordenará;
II - Gestor de Segurança da Informação; e
III - um representante e respectivo suplente das Coordenações-Gerais subordinadas à Subsecretaria de Planejamento, Orçamento e Administração - SPOA.
§ 1º O CSIC terá a seguinte composição: (Redação dada pela Portaria MINC nº 63, de 11 de julho de 2017)
I - Autoridade máxima da área de Tecnologia da Informação e Comunicações, que o coordenará;(Redação dada pela Portaria MINC nº 63, de 11 de julho de 2017)
II - Gestor de Segurança da Informação; (Redação dada pela Portaria MINC nº 63, de 11 de julho de 2017)
III - um representante das Coordenações-Gerais subordinadas à Subsecretaria de Planejamento, Orçamento e Administração - SPOA e à Subsecretaria de Gestão Estratégica – SGE.(Redação dada pela Portaria MINC nº 63, de 11 de julho de 2017)
§ 2º O CSIC reunir-se-á bimestralmente, podendo haver convocação extraordinária, a critério do coordenador do CSIC.
§ 3º O CSIC deliberará por maioria simples, devendo as reuniões serem lavradas em atas.
§ 4º De acordo com a necessidade, outros profissionais do Ministério da Cultura e convidados externos poderão participar das reuniões na condição de observadores ou colaboradores eventuais.
Art. 8º De acordo com a norma Gestão de Incidentes de Segurança da Informação e Melhorias será constituída Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais -ETIR.
Art. 9º A execução do SISIC/MinC ficará a cargo do Gestor de Segurança da Informação, servidor responsável pelas ações de segurança da informação e comunicações no âmbito do Ministério da Cultura, cabendo-lhe especialmente:
I - supervisionar o cumprimento e promover a divulgação da POSIC/MinC e suas normas e procedimentos;
II - requisitar informações às Unidades específicas do Ministério da Cultura;
III - coordenar a ETIR, bem como a realização de testes e averiguações em sistemas e equipamentos;
IV - prover todas as informações de gestão de segurança da informação solicitadas pelo CSIC; e
V - assegurar que sejam lavradas as atas das reuniões do CSIC.
Art. 10. Cada unidade organizacional do Ministério da Cultura contará com um servidor designado como Responsável por Informações, que estará encarregado da concessão, manutenção, revisão e cancelamento de autorizações de acesso a instalações e sistemas de informações deste Ministério, bem como seus documentos ou aqueles sob sua guarda.
Parágrafo único. O encargo de Responsável por Informações recairá preferencialmente sobre o Chefe da Unidade ou seu Assessor direto.
Art. 11. Cabe ao Responsável por Informações:
I - elaborar matriz que relacione cargos em comissão e funções gratificadas sob sua subordinação às autorizações de acesso concedidas, observadas as diretrizes da POSIC/MinC e suas normas e procedimentos, bem como a disposição do art. 18 do Decreto Nº7.845, de 14 de novembro de 2012, quando se tratar de informações classificadas como sigilosas;
II - manter registro e controles atualizados das liberações de acesso concedidas, determinando, sempre que necessário, a pronta suspensão ou alteração de tais liberações;
III - reavaliar, sempre que necessário, as liberações de acesso concedidas, cancelando aquelas que não forem mais necessárias;
IV - analisar os relatórios da ETIR que sejam levados a seu conhecimento, com o objetivo de identificar desvios em relação à POSIC/MinC e suas normas e procedimentos, adotando as ações corretivas necessárias;
V - participar da investigação de incidentes de quebra de segurança relacionados à informação sob sua responsabilidade; e
VI - participar, sempre que convocado, das reuniões do CSIC, prestando os esclarecimentos solicitados.
Seção II
Dos Deveres para com a Segurança da Informação e das Comunicações.
Art. 12. São deveres dos dirigentes do Ministério da Cultura:
I - cumprir e fazer cumprir a POSIC/MinC e suas normas e procedimentos;
II - assegurar que suas equipes possuam acesso e conhecimento da POSIC/MinC e suas normas e procedimentos;
III - propor procedimentos de segurança da informação e comunicações relacionados às suas áreas de competência, submetendo as propostas ao CSIC; e
IV - comunicar imediatamente eventuais casos de violação de segurança da informação ao CSIC ou a qualquer um de seus membros.
Art. 13. São deveres de todo servidor ou colaborador do Ministério da Cultura:
I - cumprir fielmente a POSIC/MinC e suas normas e procedimentos;
II - buscar orientação do superior hierárquico imediato em caso de dúvidas relacionadas à segurança da informação;
III - assinar os termos de confidencialidade, responsabilidade e outros que venham a ser instituídos por normas ou procedimentos de segurança da informação e comunicações, formalizando a ciência e o aceite da POSIC/MinC, das normas e procedimentos respectivos, bem como assumindo responsabilidade por seu fiel cumprimento;
IV - proteger as informações contra acesso, modificação, destruição ou divulgação não autorizados nos termos da POSIC/MinC e suas normas e procedimentos;
V - assegurar que os recursos tecnológicos a sua disposição sejam utilizados apenas para as finalidades aprovadas nos termos da POSIC/MinC e suas normas e procedimentos; e
VI - comunicar imediatamente, ao respectivo Responsável por Informação ou ao Gestor de Segurança da Informação, qualquer descumprimento ou violação da POSIC/MinC ou de suas normas e procedimentos.
Parágrafo único. As normas de segurança poderão especificar os colaboradores sujeitos à POSIC/MinC, bem como definir obrigações adicionais a servidores e colaboradores.
CAPÍTULO III
DISPOSIÇÕES GERAIS
Art. 14. A POSIC/MinC e suas normas e procedimentos serão disponibilizados para consulta de todos os servidores e colaboradores na rede corporativa deste Ministério, sem prejuízo da publicação oficial.
Parágrafo único. Sem prejuízo da disponibilização a que se refere o caput, a POSIC/MinC será objeto de ampla divulgação ato dos os servidores e colaboradores, sendo facultada a divulgação das normas e procedimentos de segurança da informação e comunicações apenas ao público-alvo nelas definido.
Art. 15. Em caso de quebra de segurança, poderá o Gestor de Segurança da Informação, para garantir a continuidade e a normalidade dos serviços de rede, determinar restrições temporárias de acesso a informações ou a recursos computacionais deste Ministério.
Art. 16. Os casos omissos da POSIC/MinC que não sejam objeto de norma ou procedimento específico serão estudados pelo CSIC, para eventuais propostas na forma do inciso VI do art. 7 deste Instrumento Normativo.
Art. 17. O inciso VI, do art. 2º, da Portaria nº 39, de 30 de abril de 2013, do Ministério da Cultura, passa a vigorar com a seguinte redação: (Revogado pela Portaria MINC nº 3, de 17 de janeiro de 2017)
"Art. 2º...........................................
VI - expedir diretrizes de segurança da informação e comunicações, observada a Política de Segurança da Informação e Comunicações do ministério; e.
...................................................... (NR)''
Art. 18. Ficam revogadas a Portaria nº 119, de 5 de dezembro de 2011, e a Norma Técnica de Informática - NTI 001/2006, de maio de 2006, publicada internamente.
Art. 19. Esta Portaria entra em vigor na data de sua publicação.
JOÃO LUIZ SILVA FERREIRA
Este conteúdo não substitui o publicado no DOU, de 08.04.2015.