Notícias
PORTARIA MTUR Nº 108, DE 22 DE MAIO DE 2013
(Revogada pela Portaria nº 28, de 11 de setembro de 2023)
Institui a Política de Segurança da Informação e Comunicação - POSIC, no âmbito do Ministério do Turismo.
O MINISTRO DE ESTADO DO TURISMO, no uso da atribuição que lhe confere o art. 87, parágrafo único, inciso II, da Constituição, resolver:
Art. 1º Fica instituída, no âmbito do Ministério do Turismo, a Política de Segurança da Informação e Comunicação - POSIC, com vistas a estabelecer as diretrizes, critérios e suporte administrativo e definir tratamento a ser dado às informações produzidas, processadas ou transmitidas e armazenadas no ambiente convencional ou no ambiente de tecnologia.
CAPÍTULO I
OBJETIVO
Art. 2º A Política de Segurança da Informação e Comunicações - POSIC tem por objetivo implantar diretrizes, responsabilidades, competências e princípios de Segurança da Informação e Comunicações - SIC no âmbito do Ministério do Turismo, limitando sua exposição a níveis de risco aceitáveis, com vistas a garantir a Disponibilidade, a Integridade, a Confidencialidade e a Autenticidade - DICA das informações que suportam os objetivos estratégicos deste Ministério, bem como a conformidade, padronização e normatização das atividades de Gestão de Segurança da Informação e Comunicações - GSIC.
Art. 3º As diretrizes de SIC devem considerar, prioritariamente, objetivos estratégicos, processos, requisitos legais e estrutura do Ministério, enquanto a GSIC deve apoiar e orientar a tomada de decisões institucionais e otimizar investimentos em segurança que visem à eficiência, eficácia e efetividade das atividades de SIC.
CAPÍTULO II
ABRANGÊNCIA
Art. 4º Esta POSIC e suas Normas Complementares aplicam-se a todas as unidades e à entidade vinculada ao Ministério, bem como aos servidores, prestadores de serviço, colaboradores, estagiários, consultores externos e a quem, de alguma forma, execute atividades vinculadas a este Ministério.
Art. 5º Os contratos, convênios, acordos e outros instrumentos congêneres celebrados pelo Ministério devem atender a esta POSIC.
CAPÍTULO III
CONCEITOS E DEFINIÇÕES
Art. 6º No âmbito da POSIC considera-se:
I - Acesso: ato de ingressar, transitar, conhecer ou consultar a informação, bem como a possibilidade de usar os ativos de informação de um órgão ou entidade [NC07/IN01/DSIC/GSIPR, 2010, p. 2];
II - Ameaça: conjunto de fatores externos ou causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização [NC04/IN01/DSIC/GSIPR, 2013, p. 2];
III - Ativo: tudo aquilo que possui valor para o órgão ou entidade da Administração Pública Federal;
IV - Ativos de Informação: os meios de armazenamento, transmissão e processamento, os sistemas de informação, bem como os locais onde se encontram esses meios e as pessoas que a eles têm acesso [NC04/IN01/DSIC/GSIPR, 2013, p. 3];
V - Autenticidade: propriedade de que a informação foi produzida, expedida, modificada ou destruída por uma determinada pessoa física, ou por um determinado sistema, órgão ou entidade [IN01/DSIC/GSIPR, 2008, p. 2];
VI - Capacitação em SIC: saber o que é Segurança da Informação e Comunicações aplicando em sua rotina pessoal e profissional, servindo como multiplicador sobre o tema, aplicando os conceitos e procedimentos na Organização como gestor de SIC. [DSIC/GSIPR];
VII - Capacitação: visa à aquisição de conhecimentos, capacidades, atitudes e formas de comportamento exigido para o exercício das funções;
VIII - Classificação da Informação: identificação de quais são os níveis de proteção que as informações demandam e estabelecimento de classes e formas de identificá-las, além de determinar os controles de proteção necessários a cada uma delas;
XIX - Comitê de Segurança da Informação e Comunicações: instância estratégica responsável por tratar e deliberar a respeito de temas na área de Segurança da Informação e Comunicações [NC03/IN01/DSIC/GSIPR, 2009, p. 2];
X - Confidencialidade: propriedade de que a informação não esteja disponível ou revelada a pessoa física, sistema, órgão ou entidade não autorizado e credenciado [IN01/DSIC/GSIPR, 2008, p. 2];
XI - Conscientização em SIC: saber o que é Segurança da Informação e Comunicações aplicando em sua rotina pessoal e profissional, além de servir como multiplicador sobre o tema [DSIC/GSIPR];
XII - Continuidade de Negócios: capacidade estratégica e tática de um órgão ou entidade de se planejar e responder a incidentes e interrupções de negócios, minimizando seus impactos e recuperando perdas de ativos da informação das atividades críticas, de forma a manter suas operações em um nível aceitável, previamente definido [NC06/IN01/DSIC/GSIPR, 2009, p. 3];
XIII - Controle de Acesso: conjunto de procedimentos, recursos e meios utilizados com a finalidade de conceder ou bloquear o acesso [NC07/DSIC/GSIPR, 2010, p. 3];
XIV - CTIR.GOV: Centro de Tratamento e Resposta a Incidentes de Segurança em Redes de Computadores da Administração Pública Federal, subordinado ao Departamento de Segurança de Informação e Comunicações do Gabinete de Segurança Institucional da Presidência da República [NC05/IN01/DSIC/GSIPR, 2009 p. 3];
XV - Custodiante: responsável por armazenar e preservar as informações que não lhe pertencem, refere-se a qualquer indivíduo ou estrutura do órgão ou entidade da APF que tenha a responsabilidade formal de proteger um ou mais ativos de informação, como é armazenado, transportado e processado, ou seja, é o responsável pelos contêineres dos ativos de informação. Consequentemente, o custodiante do ativo de informação é responsável por aplicar os níveis de controles de segurança em conformidade com as exigências de Segurança da Informação e Comunicações comunicadas pelos proprietários dos ativos de informação [NC10/DSIC/GSIPR, 2012, p. 2];
XVI - Disponibilidade: propriedade de que a informação esteja acessível e utilizável sob demanda por uma pessoa física ou determinado sistema, órgão ou entidade [IN01/DSIC/GSIPR, 2008, p. 2];
XVII - Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais: Grupo de pessoas com a responsabilidade de receber, analisar e responder às notificações e atividades relacionadas a incidentes de segurança em redes de computadores [NC05/IN01/DSIC/GSIPR, 2009 p. 3];
XVIII - Estrutura de GSIC: Grupo responsável pela gestão e execução da Segurança da Informação e Comunicações – SIC;
XIX - Evento: ocorrência identificada de um sistema, serviço ou rede, que indica uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação [ISO/IEC TR 18044: 2004];
XX - Gestão de Riscos de Segurança da Informação e Comunicações: conjunto de processos que permite identificar e implementar as medidas de proteção necessárias para minimizar ou eliminar os riscos a que estão sujeitos os seus ativos de informação, e equilibrá-los com os custos operacionais e financeiros envolvidos [NC04/IN01/DSIC/GSIPR, 2013, p.3];
XXI - Gestão de Segurança da Informação e Comunicações: ações e métodos que visam à integração das atividades de gestão de riscos, gestão de continuidade do negócio, tratamento de incidentes, tratamento da informação, conformidade, credenciamento, segurança cibernética, segurança física, segurança lógica, segurança orgânica e segurança organizacional aos processos institucionais estratégicos, operacionais e táticos, não se limitando, portanto, à tecnologia da informação e comunicações [IN01/DSIC/GSIPR, 2008, p. 2];
XXII - Gestor de Segurança da Informação e Comunicações: servidor responsável pelas ações de Segurança da Informação e Comunicações no âmbito do Ministério do Turismo [NC03/IN01/DSIC/GSIPR, 2009, p. 2];
XXIII - Incidente de segurança: é qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança dos sistemas de computação ou das redes de computadores [NC05/IN01/DSIC/GSIPR, 2009, p. 3];
XXIV - Informação Estratégica: toda a informação corporativa relativa à administração, planejamento, estrutura, gestão, relações internas e externas, novos produtos e tecnologias, serviços e contratos;
XXV - Integridade: propriedade de que a informação não foi modificada ou destruída de maneira não autorizada ou acidental [IN01/DSIC/GSIPR, 2008, p. 2];
XXVI - Nível de Segurança Adequado: são métricas de seguranças estabelecidas para uma rede ou sistema, depois de identificado o potencial de ameaça;
XXVII - Política de Segurança da Informação e Comunicações (POSIC): documento aprovado pela autoridade responsável do órgão ou entidade da APF, com o objetivo de fornecer diretrizes, critérios e suporte administrativo suficientes à implementação da Segurança da Informação e Comunicações [NC03/IN01/DSIC/GSIPR, 2009, p. 2];
XXVIII - Proprietário da Informação: pessoa ou setor que produz a informação, capaz de estimar em que nível de criticidade cada uma se enquadra;
XXIX - Quebra de Segurança: ação ou omissão, intencional ou acidental, que resulta no comprometimento da segurança da informação e das comunicações [IN01/DSIC/GSIPR, 2008, p. 2];
XXX - Recursos Criptográficos: sistemas, programas, processos e equipamentos isolados ou em rede que utilizam algoritmo simétrico ou assimétrico para realizar a cifração ou decifração;
XXXI - Riscos de Segurança da Informação e Comunicações: potencial associado à exploração de uma ou mais vulnerabilidades de um ativo de informação ou de um conjunto de tais ativos, por parte de uma ou mais ameaças, com impacto negativo no negócio da organização [NC04/IN01/DSIC/GSIPR, 2013, p.3];
XXXII - Segurança da Informação e Comunicações: ações que objetivam viabilizar e assegurar à disponibilidade, a integridade, a confidencialidade e a autenticidade das informações [IN01/DSIC/GSIPR, 2008, p. 2];
XXXIII - Segurança de Operações e Comunicações: definição de parâmetros responsáveis pela manutenção do funcionamento de serviços, sistemas e da infraestrutura que os suporta;
XXXIV - Sensibilização em SIC: ações que visão identificar, recomendar, criar e implementar programas de conscientização, a fim de proporcionar melhorias e mudanças na atitude e na educação organizacional quanto à importância da segurança da informação em todos os níveis do órgão;
XXXV - Sistemas Estruturantes: conjunto de sistemas informáticos fundamentais e imprescindíveis para a consecução das atividades administrativas, de forma eficaz e eficiente;
XXXVI - Terceiro: Quaisquer pessoas, físicas ou jurídicas, de natureza pública ou privada, externos ao Ministério, envolvida com o desenvolvimento de atividades, de caráter temporário ou eventual, exclusivamente para o interesse do serviço, que poderão receber credencial especial de acesso;
XXXVII - Usuário: servidores, terceirizados, colaboradores, consultores, auditores e estagiários que obtiveram autorização do responsável pela área interessada para acesso aos Ativos de Informação de um órgão ou entidade da APF, formalizada por meio da assinatura do Termo de Responsabilidade [NC07/DSIC/GSIPR, 2010, p. 3]; e
XXXVIII - Vulnerabilidade: conjunto de fatores internos ou causa potencial de um incidente indesejado, que podem resultar em risco para um sistema ou organização, os quais podem ser evitados por uma ação interna de segurança da informação [NC04/IN01/DSIC/GSIPR, 2013, p.4].
CAPÍTULO IV
PRINCÍPIOS
Art. 7º As ações relacionadas com a Segurança da Informação e Comunicações no Ministério são norteadas pelos seguintes princípios:
I - Responsabilidade: os agentes públicos devem conhecer e respeitar todas as normas de Segurança da Informação e Comunicações do Ministério;
II - Ética: os direitos dos agentes públicos devem ser preservados sem comprometimento da Segurança da Informação e Comunicações;
III - Clareza: as regras de Segurança dos ativos de Segurança da Informação e Comunicações devem ser precisas, concisas e de fácil entendimento;
IV - Privacidade: informação que fira o respeito, à intimidade, à integridade e a honra dos cidadãos não podem ser divulgadas;
V - Eficiência: realizar um trabalho correto, sem erros e de boa qualidade;
VI - Eficácia: realizar um trabalho que atinja totalmente os resultados esperados;
VII - Celeridade: as ações de segurança da informação e comunicações devem oferecer respostas rápidas a incidentes e falhas; e
VIII - Publicidade: dar transparência no trato das informações, observado os critérios legais.
CAPÍTULO V
DIRETRIZES GERAIS
Art. 8º A Política de Segurança da Informação e Comunicações do Ministério rege-se pelas seguintes diretrizes:
I - a Gestão de SIC deve suportar a tomada de decisões, bem como realizar a gestão de conhecimento e de recursos por meio da utilização eficiente e eficaz dos ativos, possibilitando alcançar os objetivos estratégicos do Ministério, assim como otimizar seus investimentos;
II - os custos associados à Gestão da SIC deverão ser compatíveis com os custos dos ativos que se deseja proteger; e
III - as normas e procedimentos de SIC do Ministério, devem considerar, subsidiariamente, normas e padrões aceitos no mercado como referência nos processos de gestão e governança de SIC.
Art. 9º Fica instituída a Estrutura de GSIC do Ministério, composta pelo Comitê de Segurança da Informação e Comunicações – CSIC, pelo Grupo de Trabalho de Segurança da Informação e Comunicações – GT-SIC e pela Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais - ETIR, os quais serão responsáveis pelas seguintes atividades:
I - executar os processos de segurança da informação e comunicações;
II - desenvolver, implementar e monitorar estratégias de segurança que atendam aos objetivos estratégicos do Ministério;
III - Avaliar, selecionar, administrar e monitorar controles apropriados de proteção dos ativos de informação;
IV - Desenvolver ações de conscientização dos usuários a respeito da implementação desses controles;
V - Fornecer subsídios visando à verificação de conformidade de segurança da informação e comunicações; e
VI - Promover a melhoria contínua nos processos e controles de GSIC.
Parágrafo único. A Estrutura de GSIC deve definir um Plano Diretor de Segurança da Informação e Comunicações para o Ministério.
Art. 10. Os membros da Estrutura da GSIC devem receber capacitação especializada nas disciplinas relacionadas à SIC.
Art. 11. A GSIC do Ministério deve auxiliar a alta administração na priorização de ações e investimentos com vistas à correta aplicação de mecanismos de proteção, tendo como base as exigências estratégicas e necessidades operacionais prioritárias do Ministério e as implicações que o nível de segurança poderá trazer ao cumprimento dessas exigências.
Art. 12. A Estrutura de GSIC deve planejar medidas de proteção e balancear os custos na aplicação de controles, de acordo com os danos potenciais de falhas de segurança.
Art. 13. O Ministério, além das diretrizes estabelecidas nesta POSIC, deve também se orientar pelas melhores práticas e procedimentos de SIC recomendados por órgãos e entidades públicas e privadas responsáveis pelo estabelecimento de padrões.
Art. 14. Os contratos firmados pelo Ministério devem conter cláusulas que determinem a observância da POSIC e seus respectivos documentos.
CAPÍTULO VI
DIRETRIZES ESPECÍFICAS
Art. 15. Para cada uma das diretrizes constantes desta POSIC devem ser elaboradas normas e procedimentos específicos.
CAPÍTULO VII
DA GESTÃO DE ATIVOS
Art. 16. Os ativos da organização são elementos fundamentais para a consecução dos objetivos estratégicos, portanto ações de segurança específicas deverão garantir a proteção adequada dos mesmos, sendo que os níveis de proteção deverão variar de acordo com a criticidade do ativo para o Ministério.
Art. 17. Os ativos de informação devem ter controles de segurança implementados independentemente do meio em que se encontram e deverão ser protegidos contra divulgação não autorizada, modificações, remoção ou destruição, de forma a evitar incidentes de segurança que possam danificar a imagem da instituição e interromper suas operações.
Art. 18. As pessoas que de alguma forma tenham acesso aos ativos de informação da organização devem ser periodicamente conscientizadas, capacitadas e sensibilizadas em assuntos de segurança e de tratamento da informação18, de forma a garantir o entendimento e a prática efetiva da SIC.
Art. 19. Os processos e atividades que sustentam os serviços críticos disponibilizados pelo Ministério devem ser protegidos de forma a garantir a DICA das informações.
Art. 20. Os ativos de informação devem:
I - ser inventariados e protegidos;
II - ter identificados os seus proprietários e custodiantes;
III - ter mapeadas as suas ameaças, vulnerabilidades e interdependências;
IV - ter a sua entrada e saída nas dependências do Ministério autorizadas e registradas por autoridade competente;
V - ser passíveis de monitoramento e ter seu uso investigado quando houver indícios de quebra de segurança, por meio de mecanismos que permitam a rastreabilidade do uso desses ativos;
VI - ser regulamentados por norma específica quanto a sua utilização; e
VII - ser utilizados estritamente dentro do seu propósito, sendo vedado seu uso para fins particulares ou de terceiros, entretenimento, veiculação de opiniões político-partidárias, religiosas, discriminatórias e afins.
Art. 21. O Ministério deve criar, gerir e avaliar critérios de tratamento e classificação da informação de acordo com o sigilo requerido, relevância, criticidade e sensibilidade, observando a legislação em vigor.
Art. 22. Os recursos tecnológicos e as instalações de infraestrutura devem ser protegidos contra indisponibilidade, acessos indevidos, falhas, bem como perdas, danos, furtos, roubos e interrupções não programadas.
Art. 23. Os sistemas de informação e as aplicações do Ministério devem ser protegidos contra indisponibilidade, alterações ou acessos indevidos, falhas e interrupções não programadas.
Art. 24. O acesso dos usuários aos ativos de informação e sua utilização, quando autorizados, deve ser condicionado ao aceite a termo de sigilo e responsabilidade.
CAPÍTULO VIII
DA GESTÃO DE RISCOS
Art. 25. Com o objetivo de reduzir as vulnerabilidades, evitar as ameaças, minimizar a exposição aos riscos e atenuar os impactos associados aos ativos da organização, deverá ser estabelecido processo que possibilite a identificação, a quantificação, a priorização, o tratamento, a comunicação e a monitoração periódica dos riscos.
Art. 26. A Estrutura de GSIC é responsável por estabelecer os processos de Gestão de Riscos de Segurança da Informação e Comunicações – GRSIC, cujo processo é contínuo e deve ser aplicado na implementação e operação da Gestão de Segurança da Informação e Comunicações – GSIC, levando em consideração o planejamento, execução, análise crítica e melhoria da SIC no Ministério.
CAPÍTULO IX
DA GESTÃO DE OPERAÇÕES E COMUNICAÇÕES
Art. 27. Dada à importância estratégica que os recursos de processamento da informação têm para a consecução dos objetivos deste Ministério, ações de segurança deverão garantir a operação segura e correta desses recursos.
Art. 28. A Estrutura de GSIC deve estabelecer parâmetros adequados, relacionados à SIC, para a disponibilização dos serviços, sistemas e instraestrutura que os apoiam, de forma que atendam aos requisitos mínimos de qualidade e reflitam as necessidades operacionais do Ministério.
Art. 29. Com o objetivo de reduzir os riscos associados, o gerenciamento dos serviços terceirizados deverá manter os níveis apropriados de segurança da informação e da entrega dos serviços, devendo os acordos de nível de serviço ser compatíveis com os padrões de mercado e requisitos de segurança.
Art. 30. A troca de informações, tanto internamente, quanto externamente, deverá ser regulada de forma a manter o nível adequado da segurança.
Art. 31. As operações deverão ser adequadamente monitoradas pela Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais- ETIR, visando detectar o mais cedo possível atividades não autorizadas.
CAPÍTULO X
DO CONTROLE DE ACESSO
Art. 32. A Estrutura de GSIC deve estabelecer normas ou procedimentos que garantam o controle de acesso às informações e às instalações, com o objetivo de evitar a quebra de segurança.
Art. 33. Devem ser criados mecanismos para garantir a exatidão dos registros de auditoria nos ativos de informação.
Art. 34. Os usuários do Ministério são responsáveis por todos os atos praticados com suas identificações, tais como: nome de usuário/senha, crachá, carimbo, correio eletrônico e assinatura digital.
Art. 35. A identificação do usuário, qualquer que seja o meio e a forma, devem ser pessoal e intransferível, permitindo de maneira clara e inequívoca o seu reconhecimento.
Art. 36. A autorização, o acesso e o uso das informações e dos recursos computacionais devem ser controlados e limitados ao necessário, considerando as atribuições de cada usuário, e qualquer outra forma de uso ou acesso além do necessário depende de prévia autorização do gestor da área responsável pela informação.
Art. 37. Os sistemas de informação do Ministério devem ter um Gestor, designado pela autoridade competente, que deve definir os privilégios de acesso às informações.
Art. 38. Sempre que houver mudança nas atribuições de determinado usuário, os seus privilégios de acesso às informações e aos recursos computacionais devem ser adequados imediatamente, devendo ser cancelados em caso de exoneração ou despensa do Ministério.
Art. 39. Os sistemas estruturantes devem possuir normas específicas, no âmbito de sua atuação, que regrem o controle de acesso quanto:
I - ao acesso às suas bases de dados;
II - à extração, carga e transformação de dados; e
III - aos serviços acessíveis via linguagem de programação.
Art. 40. Os sistemas estruturantes devem possuir mecanismos para:
I - revogar as concessões e desativar as contas de acesso do servidor nos casos de exoneração, demissão, aposentadoria e falecimento do servidor;
II - bloquear as contas de acesso do servidor nos casos de licença, afastamento, cessão e disponibilidade do servidor; e
III - tratar os casos de remoção e redistribuição do servidor, segundo as definições constantes na norma de controle de acesso ao sistema.
Art. 41. O Ministério instituirá normas e procedimentos que garantam a segurança da informação em ambientes de computação móvel e de trabalho remoto, com o objetivo de evitar a vulnerabilidade do Sistema de Gestão de Segurança da Informação e Comunicações.
Art. 42. Devem ser registrados eventos relevantes, previamente definidos, para a segurança e o rastreamento de acesso às informações.
CAPÍTULO XI
DA SEGURANÇA FÍSICA E DO AMBIENTE
Art. 43. A Estrutura de GSIC deve estabelecer mecanismos de proteção às instalações físicas e áreas de processamento de informações críticas ou sensíveis contra acesso indevido, danos e interferências.
Art. 44. As proteções devem estar alinhadas aos riscos identificados.
CAPÍTULO XII
DA SEGURANÇA EM RECURSOS HUMANOS
Art. 45. Os usuários devem ter ciência:
I - das ameaças e preocupações relativas à SIC; e
II - de suas responsabilidades e obrigações no âmbito desta POSIC.
Art. 46. Os usuários devem difundir e exigir o cumprimento da POSIC, das normas de segurança e da legislação vigente acerca do tema.
Art. 47. Devem ser estabelecidos processos permanentes de conscientização, capacitação e sensibilização em Segurança da Informação, que alcancem todos os usuários do Ministério, de acordo com suas competências funcionais.
Art. 48. Controle de pessoal:
I - Servidores: é de responsabilidade do titular da unidade administrativa juntamente com a Coordenação-Geral de Pessoas da Diretoria de Gestão Interna - COGEP/DGI/SE; e
II - Colaboradores: é de responsabilidade do titular da unidade administrativa juntamente com a Coordenação-Geral de Recursos Logísticos da Diretoria de Gestão Interna - CGRL/DGI/SE.
Parágrafo único. O Gestor de SIC deve estabelecer controles de perfis, permissões e procedimentos necessários para a salvaguarda da SIC.
CAPÍTULO XIII
DA GESTÃO DE INCIDENTES
Art. 49. Os Incidentes de Segurança da Informação e Comunicações devem ser identificados, monitorados, comunicados e devidamente tratados, em tempo hábil, de forma a garantir a continuidade das atividades e a não intervenção no alcance dos objetivos estratégicos do Ministério.
Art. 50. A Estrutura de GSIC deve instituir metodologias ou normas que estabeleçam processos de gestão para tratamento e respostas a incidentes de segurança, de forma a observar ao disposto no arcabouço técnico normativo do CTIR.GOV.
Art. 51. O Ministério instituirá Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais - ETIR.
CAPÍTULO XIV
DA GESTÃO DE CONTINUIDADE DO NEGÓCIO
Art. 52. O Ministério instituirá normas e procedimentos que estabeleçam a Gestão de Continuidade do Negócio para minimizar os impactos decorrentes de eventos que causem a indisponibilidade sobre seus serviços, além de recuperar perdas de ativos de informação a um nível estabelecido, por intermédio de ações de prevenção, resposta e recuperação.
Art. 53. A Estrutura de GSIC deve instituir metodologias ou normas que estabeleçam processos de Gestão de Continuidade de Negócio.
CAPÍTULO XV
DA CRIPTOGRAFIA
Art. 54. O uso de recursos criptográficos interfere na DICA, sendo, portanto, responsabilidade do Gestor de SIC a implementação dos procedimentos relativos ao seu uso, no âmbito das informações produzidas e custodiadas no Ministério, em conformidade com as orientações contidas em norma específica.
Art. 55. O usuário é responsável pelo recurso criptográfico que receber, devendo assinar Termo de Responsabilidade pelo seu uso.
CAPÍTULO XVI
DA AUDITORIA E CONFORMIDADE
Art. 56. O uso dos recursos computacionais e de informações disponibilizadas pelo Ministério será monitorado, respeitando os princípios legais.
Art. 57. Deverão ser mantidos procedimentos, tais como: trilha de auditoria, rastreamento, acompanhamento, controle e verificação de acessos para todos os sistemas corporativos e rede interna do Ministério.
CAPÍTULO XVII
DO USO DE E-MAIL
Art. 58. As regras de acesso e utilização serão definidas por normas específicas, em conformidade com esta POSIC e demais orientações e diretrizes de Governo.
CAPÍTULO XVIII
DO ACESSO À INTERNET
Art. 59. O acesso à internet, no ambiente de trabalho do Ministério, será regido por norma específica, em conformidade com esta POSIC e demais orientações governamentais e legislação em vigor.
CAPÍTULO XIX
DA PROPRIEDADE INTELECTUAL
Art. 60. As informações produzidas por usuários internos e colaboradores, no exercício de suas funções, são patrimônio intelectual do Ministério não cabendo a seus criadores qualquer forma de direito autoral.
Art. 61. É vedada a utilização de informações produzidas por terceiros para uso exclusivo do Ministério em quaisquer outros projetos ou atividades de uso diverso do estabelecido pelo Ministério, salvo autorização específica pelos titulares das unidades administrativas, nos processos e documentos de sua competência, ou pelo Ministro, nos demais casos.
CAPÍTULO XX
PENALIDADES
Art. 62. Ações que violem a POSIC ou que quebrem os controles de Segurança da Informação e Comunicações serão passíveis de sansões civis, penais e administrativas, conforme a legislação em vigor, que podem ser aplicadas isoladamente ou cumulativamente.
Art. 63. Processo disciplinar específico deverá ser instaurado para apurar as ações que constituem em quebra das diretrizes impostas por esta POSIC.
Art. 64. A resolução de casos de violação/transgressões omissos nas legislações correlatas será resolvida pelo Comitê de Segurança da Informação e Comunicações - CSIC do Ministério.
CAPÍTULO XXI
COMPETÊNCIA E RESPONSABILIDADE
Art. 65. É de responsabilidade da alta administração deste Ministério prover a orientação e o apoio necessários às ações de SIC, de acordo com os objetivos estratégicos e com as leis e regulamentos pertinentes.
Art. 66. É de responsabilidade dos demais gestores zelar pelo cumprimento das diretrizes desta Política no âmbito de suas áreas de atuação.
Art. 67. É de responsabilidade de todos que têm acesso aos ativos do Ministério manter níveis de segurança da informação adequados, segundo preceitos desta Política e de suas Normas Complementares.
Parágrafo único. Cabe aos usuários:
I - conhecer e cumprir todos os princípios, diretrizes e responsabilidades desta POSIC, bem como os demais normativos e resoluções relacionados à SIC;
II - obedecer aos requisitos de controle especificados pelos gestores e custodiantes da informação; e
III - comunicar os incidentes que afetam a segurança dos ativos de informação e comunicações à ETIR.
Art. 68. Cabe a Equipe de Tratamento e Resposta a Incidentes de Redes Computacionais – ETIR:
I - facilitar e coordenar as atividades de tratamento e resposta a incidentes de segurança;
II - promover a recuperação de sistemas;
III - agir proativamente com o objetivo de evitar que ocorram incidentes de segurança, divulgando práticas e recomendações de SIC e avaliando condições de segurança de redes por meio de verificações de conformidade;
IV - realizar ações reativas que incluem recebimento de notificações de incidentes, orientação de equipes no reparo a danos e análise de sistemas comprometidos buscando causas, danos e responsáveis;
V - analisar ataques e intrusões na rede do Ministério;
VI - executar as ações necessárias para tratar quebras de segurança;
VII - obter informações quantitativas acerca dos incidentes ocorridos que descrevam sua natureza, causas, data de ocorrência, frequência e custos resultantes;
VIII - cooperar com outras equipes de Tratamento e Resposta a Incidentes; e
IX - participar em fóruns, redes nacionais e internacionais relativos à SIC.
Art. 69. O Comitê de Segurança da Informação e Comunicações - CSIC é a instância estratégica responsável por tratar e deliberar a respeito de temas na área de Segurança da Informação e Comunicações no âmbito do Ministério.
Parágrafo único. Cabe ao CSIC:
I - deliberar sobre a implementação das ações de Segurança da Informação e Comunicações no âmbito do Ministério;
II - constituir grupos de trabalho para tratar de temas e propor soluções específicas sobre Segurança da Informação e Comunicações;
III - elaborar e propor alterações na Política de Segurança da Informação e Comunicações;
IV - submeter, para aprovação do Ministro de Estado do Turismo, a Política de Segurança da Informação e Comunicações;
V - propor normas relativas à Segurança da Informação e Comunicações;
VI - designar o Gestor de Segurança da Informação e Comunicações; e
VII - solicitar apurações quando da suspeita de ocorrências de quebras de Segurança da Informação e Comunicações.
Art. 70. O Gestor de Segurança da Informação e Comunicações é o responsável pelas ações de Segurança da Informação e Comunicações no âmbito do Ministério.
Parágrafo único. Cabe ao Gestor de SIC:
I - promover cultura de Segurança da Informação e Comunicações;
II - acompanhar as investigações e as avaliações dos danos decorrentes de quebras de segurança;
III - propor recursos necessários às ações de Segurança da Informação e Comunicações;
IV - coordenar o CSIC e a equipe de tratamento e resposta a incidentes em redes computacionais;
V - realizar e acompanhar estudos de novas tecnologias quanto a possíveis impactos na Segurança da Informação e Comunicações;
VI - manter contato direto com o Departamento de Segurança da Informação e Comunicações - DSIC do Gabinete de Segurança Institucional da Presidência da República - GSI/PR para o trato de assuntos relativos à Segurança da Informação e Comunicações;
VII - propor normas relativas à Segurança da Informação e Comunicações;
VIII - apoiar técnica e administrativamente as reuniões e demais atividades do Comitê, incluindo o acompanhamento da execução das resoluções do CSIC;
IX - receber e expedir correspondências e comunicados;
X - selecionar e organizar a legislação e a jurisprudência relativas à Segurança da Informação e Comunicações;
XI - preparar atos a serem baixados pelo Presidente;
XII - informar sobre a tramitação de processos;
XIII - providenciar:
a) elaboração e apresentação das propostas a serem discutidas e homologadas nas reuniões do Comitê; e
b) comunicados e demais documentos administrativos;
XIV - adotar providências para:
a) realização das reuniões, secretariando-as e elaborando as respectivas atas;
b) cumprimento das deliberações do Comitê; e
c) organizar, disponibilizar e manter atualizado o acervo documental correspondente; e
XV - exercer outras atribuições administrativas que lhe forem conferidas pelo Presidente.
Art. 71. Os níveis adequados de segurança dos ativos de informação deverão ser garantidos pelos proprietários e custodiantes diretamente responsáveis pelos mesmos.
CAPÍTULO XXII
ATUALIZAÇÃO
Art. 72. Esta POSIC, bem como todos os instrumentos normativos gerados a partir dela, deverão ser revisados e atualizados sempre que se fizer necessário, não excedendo o período máximo de três anos.
CAPÍTULO XXIII
DISPOSIÇÕES GERAIS
Art. 73. Para a implementação da POSIC no Ministério, são recomendadas as seguintes ações:
I - implantar a POSIC através da aprovação e publicação por parte da autoridade máxima do órgão, demonstrando a todos os servidores e usuários o seu comprometimento;
II - garantir a provisão dos recursos necessários para a implementação da POSIC;
III - promover no órgão, a cultura de Segurança da Informação e Comunicações, por meio de atividades de sensibilização, conscientização, capacitação e especialização; e
IV - esta POSIC, bem como as Normas e Procedimentos de SIC associados, deverão ter ampla divulgação, de forma a garantir que todos entendam suas responsabilidades e estejam de acordo com os preceitos desta Política.
Art. 74. Esta Portaria entra em vigor na data de sua publicação.
GASTÃO VIEIRA
Este texto não substitui o publicado no DOU de 23.5.2013.
ANEXO
REFERÊNCIAS NORMATIVAS
Dispositivos legais, aplicáveis à Segurança da Informação e Comunicações:
I - Associação Brasileira de Normas Técnicas - ABNT NBR ISO/IEC 17799: 2005 (27002). Tecnologia da informação - Técnicas de segurança - Código de prática para a gestão da segurança da informação;
II - Constituição da República Federativa do Brasil de 1988;
III - Decreto nº 1.171, de 22 de junho de 1994, que dispõe sobre o Código de Ética Profissional do Servidor Público Civil do Poder Executivo Federal;
IV - Decreto nº 3.505, de 13 de junho de 2000, que institui a Política de Segurança da Informação nos órgãos e entidades da Administração Pública Federal;
V - Decreto nº 7.845, de 14 de novembro de 2012, regulamenta procedimentos para credenciamento de segurança e tratamento de informação classificada em qualquer grau de sigilo, e dispõe sobre o Núcleo de Segurança e Credenciamento;
VII - Lei nº 8.112, de 11 de dezembro de 1990, que dispõe sobre o regime jurídico dos servidores públicos civis da União, das autarquias e das fundações públicas federais.