PORTARIA ME Nº 218, DE 19.05.2020
CONTEÚDO
PORTARIA ME Nº 218, DE 19.05.2020
Institui a Política de Segurança da Informação do Ministério da Economia.
O MINISTRO DE ESTADO DA ECONOMIA, no uso da atribuição que lhe confere o inciso II do parágrafo único do art. 87 da Constituição, e tendo em vista o disposto no inciso II do art. 15 do Decreto nº 9.637, de 26 de dezembro de 2018, no inciso I do art. 2º e no inciso VII do art. 5º da Instrução Normativa GSI/PR nº 1, de 13 de junho de 2008, e na Norma Complementar nº 03/IN01/DSIC/GSIPR, de 30 de junho de 2009, resolve:
CAPÍTULO I
DO ESCOPO
Art. 1º Instituir a Política de Segurança da Informação, no âmbito do Ministério da Economia, com a finalidade de estabelecer princípios e diretrizes para a implementação de ações de segurança da informação e, no que couber, no relacionamento com outros órgãos públicos ou entidades privadas.
§ 1º Todos os instrumentos normativos gerados a partir da Política de Segurança da Informação do Ministério da Economia são partes integrantes desta Política e emanam dos princípios e diretrizes nela estabelecidos.
§ 2º A Política de Segurança da Informação do Ministério da Economia não se aplica às entidades vinculadas ao Ministério.
§ 3º As diretrizes de segurança da informação previstas nesta Política e nas demais normas específicas de segurança da informação do Órgão são aplicadas a todos os colaboradores, conforme definição dada no Anexo I, que tenham acesso às informações e aos recursos de Tecnologia da Informação deste Ministério.
Art. 2º A Política de Segurança da Informação do Ministério da Economia tem como objetivos:
I - nortear a elaboração das normas necessárias à efetiva implementação da segurança da informação;
II - estabelecer princípios e diretrizes a fim de proteger ativos de informação e conhecimentos gerados ou recebidos;
III - estabelecer orientações gerais de segurança da informação e, desta forma, contribuir para a gestão eficiente dos riscos, limitando-os a níveis aceitáveis, bem como preservar os princípios da disponibilidade, integridade, confiabilidade e autenticidade das informações; e
IV - estabelecer competências e responsabilidades quanto à segurança da informação.
CAPÍTULO II
DOS PRINCÍPIOS
Art. 3º As ações de segurança da informação do Ministério da Economia são norteadas pelos princípios constitucionais e administrativos que norteiam a Administração Pública Federal, bem como pelos seguintes princípios:
I - disponibilidade, integridade, confidencialidade e autenticidade das informações;
II - continuidade dos processos e serviços essenciais para o funcionamento do Ministério;
III - responsabilidade dos colaboradores, constituída no dever de conhecer e respeitar a Política de Segurança da Informação do Ministério da Economia e demais normas específicas de segurança da informação do Órgão;
IV - alinhamento estratégico da Política e Segurança da Informação do Ministério da Economia com o planejamento estratégico do Órgão, assim como demais normas específicas de segurança da informação da Administração Pública Federal;
V - conformidade das normas e das ações de segurança da informação com a legislação e regulamentos aplicáveis; e
VI - educação e comunicação como alicerces fundamentais para o fomento da cultura em segurança da informação.
CAPÍTULO III
DAS DIRETRIZES GERAIS
Art. 4º Estas diretrizes constituem os principais pilares da gestão de segurança da informação no Ministério da Economia, norteando a elaboração de políticas, planos e normas complementares no âmbito deste Ministério e objetivam a garantia dos princípios básicos de segurança da informação estabelecidos nesta Política.
Art. 5º As normas, procedimentos, manuais e metodologias de segurança da informação do Ministério devem considerar, como referência, além das citadas no Anexo II, as melhores práticas de segurança da informação.
Art. 6º As ações de segurança da informação devem:
I - considerar prioritariamente, os objetivos estratégicos, os planos institucionais, a estrutura e a finalidade do Órgão;
II - ser tratadas de forma integrada, respeitando as especificidades e autonomia das unidades do Ministério;
III - ser adotadas proporcionalmente aos riscos existentes e à magnitude dos danos potenciais, considerados o ambiente, o valor e a criticidade da informação; e
IV - visar à prevenção da ocorrência de incidentes.
Art. 7º O investimento necessário em medidas de segurança da informação deve ser dimensionado segundo o valor do ativo a ser protegido e de acordo com o risco de potenciais prejuízos para o Ministério.
Art. 8º Toda e qualquer informação gerada, custodiada, manipulada, utilizada ou armazenada no Ministério da Economia compõe o seu ativo da informação e deve ser protegida conforme normas em vigor estabelecidas no âmbito do Órgão, e, no que couber, conforme normativos constantes do Anexo II.
Art. 9º Pessoas e sistemas devem ter o menor privilégio e o mínimo acesso aos recursos necessários para realizar uma dada tarefa.
Parágrafo único. É condição para acesso aos recursos de tecnologia da informação do Órgão a assinatura de Termo de Responsabilidade, contendo ciência aos termos desta Política, as responsabilidades e compromissos em decorrência deste acesso e penalidades cabíveis pela inobservância das regras previstas nas normas de segurança da informação do Ministério da Economia.
Art. 10. Esta Política de Segurança da Informação e suas atualizações, bem como normas específicas de segurança da informação do Ministério da Economia, deverão ser divulgadas amplamente a todos os colaboradores, ainda que a atuação no Órgão seja temporária, a fim de promover sua observância, seu conhecimento, bem como a formação da cultura de segurança da informação.
§ 1º Os colaboradores devem ser continuamente capacitados nos procedimentos de segurança e no uso correto dos ativos de informação quando da realização de suas atribuições, de modo a minimizar possíveis riscos à segurança da informação.
§ 2º As ações de capacitação previstas no parágrafo anterior deverão ser conduzidas de modo a possibilitar o compartilhamento de materiais educacionais sobre segurança da informação.
Art. 11. Todos os contratos de prestação de serviços, firmados pelo Ministério da Economia conterão cláusula específica sobre a obrigatoriedade de atendimento às diretrizes desta Política de Segurança da Informação.
Art. 12. A estrutura do Sistema de Gestão de Segurança da Informação do Ministério da Economia será definida em norma específica.
§ 1º A estrutura prevista no caput deverá, minimamente, contemplar em sua composição:
I - o Gestor de Segurança da Informação do Órgão;
II - a(s) equipe(s) de tratamento e resposta a incidentes em redes computacionais; e
III - os comitês e subcomitês de segurança da informação.
§ 2º A Política de Segurança da Informação integra o arcabouço legal do Sistema de Gestão de Segurança da Informação do Ministério da Economia.
§ 3º A estrutura do Sistema de Gestão de Segurança da Informação do Ministério da Economia deverá estar em conformidade com o modelo de governança do Ministério da Economia.
CAPÍTULO IV
DAS COMPETÊNCIAS E RESPONSABILIDADES
Art. 13. A alta administração do Órgão deve se comprometer com o desenvolvimento e com a implementação do Sistema de Gestão de Segurança da Informação do Ministério da Economia, bem como com o tratamento das ações e decisões de segurança da informação em um nível de relevância e prioridade adequados.
Art. 14. Cabe ao Comitê Estratégico de Segurança da Informação do Ministério da Economia:
I - estabelecer, regulamentar e rever, quando necessário, os princípios e diretrizes desta Política, promover a implementação das ações preventivas e corretivas de segurança da informação, de forma sistêmica e integrada aos negócios, e respaldar a realização de auditorias, dentre outras competências previstas em seu regimento; e
II - estabelecer normas e procedimentos destinados a disciplinar e proteger o uso da informação no âmbito do Ministério, complementando a Política de Segurança da Informação do Ministério da Economia, sobre, dentre outros que julgar pertinente, os seguintes temas julgados relevantes para a sua atuação:
a) Tratamento da Informação;
b) Tratamento de Incidentes de Rede;
c) Gestão de Risco;
d) Gestão de Continuidade;
e) Auditoria e Conformidade;
f) Controles de Acesso;
g) Uso de e-mail;
h) Acesso à Internet;
i) Gestão de Ativos de Informação;
j) Segurança Física e do Ambiente;
k) Segurança em Recursos Humanos;
l) Gestão de Operações e Comunicações;
m) Criptografia; e
n) Desenvolvimento Seguro de Software.
Art. 15. É responsabilidade de todos os gestores do Ministério o conhecimento e a disseminação desta Política e demais normas específicas de segurança da informação do Órgão aos colaboradores que estão sob a sua gestão.
Art. 16. Todos os colaboradores são responsáveis pela segurança dos ativos de informação que estejam sob a sua responsabilidade.
Art. 17. É vedada a exploração de eventuais vulnerabilidades, as quais devem ser comunicadas ex officio às instâncias superiores, assim que identificadas.
CAPÍTULO V
DAS PENALIDADES
Art. 18. Ações que violem a Política de Segurança da Informação do Ministério da Economia poderão acarretar, isolada ou cumulativamente, nos termos da legislação aplicável, sanções administrativas, civis e penais, assegurados aos envolvidos o contraditório e a ampla defesa.
CAPÍTULO VI
DA ATUALIZAÇÃO
Art. 19. A Política de Segurança da Informação do Ministério da Economia deverá ser revisada em função de alterações na legislação pertinente, de diretrizes políticas do Governo Federal, de alterações nos normativos do Órgão, quando considerada necessária pelo Comitê Estratégico de Segurança da Informação, ou a cada doze meses a contar da data de sua publicação.
CAPÍTULO VII
DAS DISPOSIÇÕES FINAIS
Art. 20. Os órgãos integrantes do Sistema de Gestão de Segurança da Informação do Ministério da Economia poderão expedir instruções complementares, no âmbito de suas competências, que detalharão suas particularidades e procedimentos relativos à segurança da informação alinhados às diretrizes emanadas pelo Comitê Estratégico de Segurança da Informação e aos respectivos Planos Estratégicos Institucionais desses órgãos.
Art. 21. As dúvidas sobre a Política de Segurança da Informação do Ministério da Economia e seus documentos devem ser submetidas ao Comitê Estratégico de Segurança da Informação.
Art. 22. Ficam revogadas:
I - a Resolução nº 010, de 10 de agosto de 2017, do Comitê de Tecnologia da Informação e Comunicação do Ministério da Fazenda;
II - a Portaria nº 4, de 23 de dezembro de 2016, do Comitê de Governança Digital do Ministério da Indústria, Comércio Exterior e Serviços;
III - a Portaria nº 1.407, de 16 de julho de 2013, do Ministério do Trabalho; e
IV - a Portaria nº 372, de 13 de novembro de 2017, do Ministério do Planejamento, Desenvolvimento e Gestão.
Art. 23. Esta Portaria entra em vigor na data de sua publicação.
PAULO GUEDES
(DOU de 20.05.2020 - págs. 21 e 22 - Seção 1)
ANEXO I
CONCEITOS E DEFINIÇÕES
1. Para os fins da Política de Segurança da Informação do Ministério da Economia, fica estabelecido o significado dos seguintes termos e expressões:
1.1. ativo de informação: o patrimônio composto por todos os dados e informações geradas, custodiadas, manipuladas, utilizadas ou armazenada no Ministério da Economia, bem assim todos os elementos de pessoal (colaboradores que manuseiam os ativos), infraestrutura, tecnologia, hardware e software necessários à execução dos processos da organização;
1.2. autenticidade: propriedade pela qual se assegura que a informação foi produzida, expedida, modificada ou destruída por uma determinada pessoa física, equipamento, sistema, órgão ou entidade;
1.3. colaborador: todas as pessoas envolvidas com o desenvolvimento de atividades no Ministério da Economia de caráter permanente, continuado ou eventual, incluindo autoridades, servidores, prestadores de serviço, consultores e estagiários;
1.4. confidencialidade: propriedade pela qual se assegura que a informação não esteja disponível ou não seja revelada a pessoa, a sistema, a órgão ou a entidade não autorizados nem credenciados;
1.5. diretrizes de segurança da informação: ações que definem a Política de Segurança da Informação do Ministério da Economia, visando a preservar a disponibilidade, integridade, confiabilidade e autenticidade das informações da Instituição;
1.6. disponibilidade: propriedade pela qual se assegura que a informação esteja acessível e utilizável sob demanda por uma pessoa física ou determinado sistema, órgão ou entidade devidamente autorizados;
1.7. Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais: grupo de pessoas com a responsabilidade de receber, analisar e responder às notificações e atividades relacionadas a incidentes de segurança em redes de computadores;
1.8. gestor de segurança da informação: servidor público efetivo responsável pelas ações de segurança da informação do Ministério da Economia;
1.9. incidente: evento, ação ou omissão, que tenha permitido, ou possa vir a permitir, acesso não autorizado, interrupção ou mudança nas operações (inclusive pela tomada de controle), destruição, dano, deleção ou mudança da informação protegida, remoção ou limitação de uso da informação protegida ou ainda a apropriação, disseminação e publicação indevida de informação protegida de algum ativo de informação crítico ou de alguma atividade crítica por um período de tempo inferior ao tempo objetivo de recuperação;
1.10. incidente de segurança: qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança dos sistemas de computação ou das redes de computadores;
1.11. integridade: propriedade pela qual se assegura que a informação não foi modificada ou destruída de maneira não autorizada ou acidental;
1.12. recursos de Tecnologia da Informação: conjunto formado pelos bens e serviços de tecnologia da informação que constituem a infraestrutura utilizada na produção, coleta, tratamento, armazenamento, transmissão, recepção, comunicação e disseminação da informação;
1.13. responsável pelo ativo de informação: servidor público responsável pela salvaguarda do ativo de informação;
1.14. risco: possibilidade de ocorrência de um evento que venha a ter impacto no cumprimento dos objetivos, sendo mensurado em termos de impacto e de probabilidade;
1.15. risco de segurança da informação: potencial associado à exploração de uma ou mais vulnerabilidades de um ativo de informação ou de um conjunto de tais ativos, por parte de uma ou mais ameaças, com impacto negativo no negócio da organização;
1.16. segurança da informação: ações que objetivam viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações;
1.17. servidor público: toda pessoa legalmente investida em cargo público;
1.18. Sistema de Gestão de Segurança da Informação: é um conjunto de pessoas, processos e procedimentos, baseado em normas e na legislação vigente, que uma organização deve implementar para prover segurança no uso de seus ativos de informação de modo a preservá-los quanto aos aspectos de disponibilidade, integridade, confidencialidade e autenticidade, independentemente do meio em que se encontram; e
1.19. vulnerabilidades: fatores internos ou causa potencial de um incidente indesejado, que podem resultar em risco para um sistema ou organização, e podem ser corrigidas ou evitadas por uma ação interna de segurança da informação.
ANEXO II
REFERÊNCIAS LEGAIS E NORMATIVAS
1. Esta norma foi elaborada em conformidade às seguintes referências legais e normativas:
1.1. Instrução Normativa GSI/PR nº 1, de 13 de junho de 2008, e suas normas complementares, que disciplinam a Gestão de Segurança da Informação e Comunicação na Administração Pública Federal;
1.2. Decreto nº 7.724, de 16 de maio de 2012, que regulamenta, no âmbito do Poder Executivo federal, os procedimentos para a garantia do acesso à informação e para a classificação de informações sob restrição de acesso, observados grau e prazo de sigilo, conforme o disposto na Lei nº 12.527, de 18 de novembro de 2011, que dispõe sobre o acesso a informações previsto no inciso XXXIII do caput do art. 5º , no inciso II do § 3º do art. 37 e no § 2º do art. 216 da Constituição;
1.3. Decreto nº 7.845, de 14 de novembro de 2012, que regulamenta procedimentos para credenciamento de segurança e tratamento de informação classificada em qualquer grau de sigilo, e dispõe sobre o Núcleo de Segurança e Credenciamento;
1.4. Lei nº 12.527, de 18 de novembro de 2011, que regula o acesso a informações;
1.5. Decreto nº 8.638, de 15 de janeiro de 2016, que institui a Política de Governança Digital no âmbito dos órgãos e das entidades da administração pública federal direta, autárquica e fundacional;
1.6. Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (LGPD);
1.7. Decreto nº 9.637, de 26 de dezembro de 2018, que institui a Política Nacional de Segurança da Informação;
1.8. Decreto nº 9.832, de 12 de junho de 2019, que altera o Decreto nº 9.637, de 26 de dezembro de 2018, e o Decreto nº 7.845, de 14 de novembro de 2012, para dispor sobre o Comitê Gestor da Segurança da Informação;
1.9. ABNT NBR ISO/IEC 27001 - Tecnologia da informação - Técnicas de segurança - Sistemas de gestão de segurança da informação;
1.10. ABNT NBR ISO/IEC 27002 - Tecnologia da informação - Técnicas de segurança - Código de prática para a gestão da segurança da informação; e
1.11. ABNT NBR ISO/IEC 27005 - Tecnologia da informação - Técnicas de segurança - Gestão de riscos de segurança da informação.