INSTRUÇÃO NORMATIVA/GSI/PR Nº 006, DE 23.12.2021
CONTEÚDO
INSTRUÇÃO NORMATIVA/GSI/PR Nº 006, DE 23.12.2021
Estabelece diretrizes de segurança da informação para o uso seguro de mídias sociais nos órgãos e nas entidades da administração pública federal.
O MINISTRO DE ESTADO CHEFE DO GABINETE DE SEGURANÇA INSTITUCIONAL DA PRESIDÊNCIA DA REPÚBLICA, no uso das atribuições que lhe conferem o art. 87, parágrafo único, incisos I e II, da Constituição, e tendo em vista o disposto no art. 12 do Decreto nº 9.637, de 26 de dezembro de 2018, resolve:
Art. 1º Estabelecer as diretrizes de segurança da informação para uso seguro de mídias sociais nos órgãos e nas entidades da administração pública federal, no que se refere aos perfis institucionais.
CAPÍTULO I
DAS DISPOSIÇÕES PRELIMINARES
Art. 2º Para fins desta Instrução Normativa, serão considerados os conceitos constantes do Glossário de Segurança da Informação, aprovado e atualizado por portaria do Gabinete de Segurança Institucional da Presidência da República.
Art. 3º Os perfis institucionais mantidos em mídias sociais deverão ser administrados e gerenciados por equipes compostas por militares, servidores efetivos ou empregados públicos.
Parágrafo único. Quando não for possível seguir o disposto no caput, a equipe poderá ser mista, com a participação de terceirizados ou servidores sem vínculo, desde que sob coordenação e responsabilidade de militar, servidor efetivo ou empregado público.
CAPÍTULO II
DAS COMPETÊNCIAS
Art. 4º Compete à equipe de administração e de gestão de perfis institucionais em mídias sociais:
I - criar, alterar, excluir e controlar os perfis institucionais em mídias sociais do órgão ou da entidade;
II - remover, tão logo tome conhecimento, postagens que atentem contra a segurança da informação; e
III - elaborar relatório mensal sobre a utilização de mídias sociais sob sua administração e apresentar ao gestor de segurança da informação do órgão ou da entidade.
Parágrafo único. O relatório mensal de que trata o inciso III do caput deverá conter, no mínimo:
I - o total de contas criadas e excluídas;
II - o total de seguidores registrados; e
III - a quantidade de postagens realizadas e removidas.
Art. 5º Compete ao agente responsável pelo uso seguro de mídias sociais:
I - gerenciar, acompanhar e analisar, de forma contínua, as práticas de uso seguro de mídias sociais, com relação aos aspectos de segurança da informação;
II - verificar se o ato normativo sobre o uso seguro de mídias sociais está sendo seguido de forma adequada pelo órgão ou pela entidade e se há necessidade de revisão;
III - implementar a cultura de uso seguro de mídias sociais e realizar as ações de segurança da informação cabíveis nesse contexto em seu respectivo órgão ou entidade; e
IV - elaborar relatório que contenha a descrição dos incidentes de segurança ocorridos em perfis institucionais em mídias sociais e as medidas de correção adotadas, bem como encaminhá-lo ao gestor de segurança da informação para conhecimento.
Art. 6º Compete ao gestor de segurança da informação:
I - propor ações para melhoria contínua da gestão do uso seguro de mídias sociais;
II - fomentar o fortalecimento da cultura da segurança da informação no seu respectivo órgão ou entidade, no que diz respeito ao uso seguro de mídias sociais;
III - designar o agente responsável pelo uso seguro de mídias sociais;
IV - instituir e coordenar a equipe responsável pela elaboração e pelas revisões do ato normativo sobre o uso seguro de mídias sociais;
V - apresentar à alta administração e ao Comitê de Segurança da Informação ou à estrutura equivalente o relatório sobre a utilização de mídias sociais de que trata o inciso III do art. 4º; e
VI - encaminhar para aprovação da alta administração as minutas de elaboração e de revisões do ato normativo sobre o uso seguro de mídias sociais.
Art. 7º Compete ao Comitê de Segurança da Informação ou estrutura equivalente:
I - analisar os riscos de segurança da informação provenientes da presença do órgão ou da entidade em mídias sociais;
II - promover ações para tratar os riscos de segurança da informação provenientes da presença do órgão ou da entidade em mídias sociais;
III - analisar, em caráter conclusivo, as minutas de elaboração e de revisões do ato normativo sobre o uso seguro de mídias sociais;
IV - analisar os relatórios de que tratam o inciso III do art. 4º e o inciso IV do art. 5º; e
V - assessorar na implementação das ações de segurança da informação para o uso seguro de mídias sociais.
Art. 8º Compete à alta administração do órgão ou da entidade:
I - aprovar a minuta e as revisões do ato normativo sobre o uso seguro de mídias sociais;
II - designar os administradores de perfis institucionais em mídias sociais; e
III - promover a participação em ações de capacitação e de profissionalização dos recursos humanos, em temas relacionados ao uso seguro de mídias sociais.
CAPÍTULO III
DO ATO NORMATIVO SOBRE O USO SEGURO DE MÍDIAS SOCIAIS
Art. 9º Os órgãos e as entidades da administração pública federal deverão editar ato normativo sobre o uso seguro de mídias sociais, aprovado pela alta administração.
Parágrafo único. O ato de que trata o caput deverá:
I - observar os requisitos legais de segurança da informação em vigor e estar alinhado, no que couber, à Política de Segurança da Informação, aos processos internos de gestão de segurança da informação, aos objetivos estratégicos e às competências do órgão ou da entidade; e
II - estabelecer diretrizes, critérios, limitações e responsabilidades para a gestão do uso seguro de mídias sociais por usuários que tenham permissão para administrar perfis institucionais ou que possuam credencial de acesso a qualquer mídia social institucional.
Art. 10. Deverá ser instituída equipe para elaboração e revisões do ato normativo sobre uso seguro de mídias sociais composta por, no mínimo:
I - agente responsável pelo uso seguro de mídias sociais;
II - responsável pela administração e pela gestão de perfis institucionais em mídias sociais;
III - representante(s) da área de comunicação do órgão ou da entidade; e
IV - servidor(es) de áreas interessadas ou envolvidas com perfis institucionais em mídias sociais, se for o caso.
Art. 11. O ato normativo sobre o uso seguro de mídias sociais deverá definir os seguintes critérios, no mínimo:
I - quanto à gestão de segurança da informação no uso seguro de mídias sociais, além das competências previstas no Capítulo II:
a) a responsabilidade pela autorização e pelo veto à criação de novas contas institucionais em mídias sociais, considerando aspectos de conveniência, de oportunidade e de segurança da informação;
b) a responsabilidade pela decisão e pelos procedimentos relativos ao encerramento de contas institucionais em mídias sociais;
c) a responsabilidade pelos procedimentos para o gerenciamento de qualquer crise institucional resultante do uso de mídias sociais;
d) a responsabilidade pela designação da área ou do agente responsável por autorizar militar, servidor ou empregado público a realizar ou autorizar postagem em nome da instituição; e
e) a responsabilidade do militar, servidor ou empregado público ao realizar ou autorizar postagens pelo perfil institucional atribuído;
II - quanto aos procedimentos de segurança da informação necessários para a criação de contas institucionais em mídias sociais:
a) os objetivos a serem alcançados com o uso da conta pelo órgão e pela entidade;
b) a existência de procedimentos de verificação de conteúdo antes e após a postagem;
c) a existência de elementos visuais que identifiquem o órgão e a entidade de modo indubitável, seguindo os padrões normatizados;
d) a existência de políticas e procedimentos de segurança da informação e de privacidade por parte da empresa proprietária ou gestora do aplicativo de mídia social; e
e) a definição dos procedimentos que devem ser adotados a fim de prevenir e corrigir caso de postagens que possam prejudicar a imagem de autoridades ou de órgãos e entidades da administração pública federal, inclusive o uso do recurso de moderação de mensagens;
III - quanto aos requisitos de segurança da informação necessários para a manutenção de contas institucionais em mídias sociais:
a) a verificação do cumprimento das disposições da Política de Segurança da Informação do órgão ou da entidade;
b) a adoção de processos de verificação do conteúdo das postagens, de acordo com a norma de uso seguro de mídias sociais;
c) a decisão conjunta do agente responsável e do administrador e gestor de perfis institucionais em mídias sociais sobre a necessidade da criação de uma conta institucional em mídias sociais; e
d) a existência e a correta utilização dos elementos visuais mínimos de padronização e de identidade do órgão ou da entidade, conforme padrões normatizados; e
IV - quanto aos requisitos gerais:
a) as postagens que atentem contra a segurança da informação;
b) as regras de conformidade com as leis de privacidade, especificando:
1. como deve ser a interação com usuários externos; e
2. os requisitos a serem observados para, em caso de necessidade, mover essa interação para um canal privado ou direcioná-la para outro nível de tratamento;
c) as regras de conformidade com diretrizes de confidencialidade, especificando:
1. o tipo de informação que poderá ser divulgada; e
2. as informações que não deverão ser divulgadas, por serem classificadas ou de acesso restrito;
d) as ações para os casos de violação do ato normativo sobre o uso seguro de mídias sociais; e
e) os procedimentos para o gerenciamento de crises institucionais relacionadas à segurança da informação resultantes do uso de mídias sociais.
Parágrafo único. Entende-se por moderação de mídias sociais a gerência e a revisão de conteúdo gerado pelo usuário e a administração de suas atividades em plataformas sociais on-line.
Art. 12. O ato normativo sobre o uso seguro de mídias sociais estabelecerá a periodicidade para sua revisão ou das normas dele derivadas, que não deverá exceder dois anos.
Art. 13. O ato normativo e suas atualizações deverão ser divulgados a todos os servidores, empregados públicos, militares e prestadores de serviço do órgão ou da entidade.
CAPÍTULO IV
DAS DIRETRIZES DE SEGURANÇA DA INFORMAÇÃO PARA O USO INSTITUCIONAL DE MÍDIAS SOCIAIS
Art. 14. Apenas servidores, empregados públicos e militares devidamente autorizados poderão realizar ou autorizar postagens em mídias sociais em nome do órgão ou da entidade.
Art. 15. Informações classificadas ou de acesso restrito não poderão ser publicadas em mídias sociais.
§ 1º Alterações na classificação de assuntos postados deverão ser informadas ao administrador de perfis institucionais em mídias sociais, a fim que sejam tomadas as providências necessárias para garantir o cumprimento do disposto no caput.
§ 2º Fica a critério do órgão ou da entidade definir os prazos de permanência de postagens, considerando o risco de segurança da informação em virtude de postagens com informações desatualizadas.
§ 3º A publicação de dados pessoais em mídias sociais deverá observar o disposto na Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais), e em normas correlatas.
Art. 16. Os servidores, empregados públicos, militares e prestadores de serviço não poderão disponibilizar nas mídias sociais conteúdo considerado inapropriado, estando o infrator sujeito às sanções previstas na legislação.
§ 1º Considera-se conteúdo inapropriado, entre outros, material:
I - ofensivo;
II - obsceno;
III - pornográfico;
IV - sexualmente sugestivo;
V - abusivo;
VI - discriminatório;
VII - difamatório;
VIII - ameaçador;
IX - de ódio;
X - que infrinja a Lei nº 7.716, de 5 de janeiro de 1989;
XI - que infrinja as leis de propriedade intelectual; e
XII - que infrinja as leis de privacidade.
§ 2º Ao receber qualquer material como os descritos no § 1º, por meio de um perfil institucional em mídia social, incluindo links de acesso para o material, o servidor, empregado público, militar ou prestador de serviço deverá comunicar o fato ao administrador de perfis institucionais em mídias sociais, para que sejam adotadas providências junto ao agente responsável pelo uso seguro de mídias sociais.
Art. 17. É vedada a utilização de contas institucionais em mídias sociais para fazer recomendações profissionais ou que vise à promoção de produtos ou empresas não autorizada pelo órgão ou pela entidade.
Art. 18. Os órgãos e as entidades da administração pública federal poderão definir outros procedimentos que considerarem necessários para o uso seguro e adequado de mídias sociais por parte de seus servidores e prestadores de serviço.
Parágrafo único. Deverão ser buscadas alternativas que permitam o rastreamento dos responsáveis pela publicação de conteúdos nas contas institucionais, evitando-se, quando possível, o uso de contas compartilhadas de acesso às mídias sociais.
CAPÍTULO V
DAS DISPOSIÇÕES FINAIS
Art. 19. Fica revogada a Portaria nº 38, de 11 de junho de 2012, da Secretaria-Executiva do Conselho de Defesa Nacional.
Art. 20. Esta Instrução Normativa entra em vigor em 3 de janeiro de 2022.
AUGUSTO HELENO RIBEIRO PEREIRA
(DOU de 27.12.2021 - págs. 1 e 2 - Seção 1)