DOU 15/06/2023 - Diário Oficial da União - Brasil
Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152023061500068
68
Nº 112, quinta-feira, 15 de junho de 2023
ISSN 1677-7042
Seção 1
ANEXO I
NORMA DE SEGURANÇA DA INFORMAÇÃO NSI 001/2023
CONTROLE DE ACESSO À INTERNET
1. OBJETIVO
1.1. Estabelecer diretrizes e padrões para o acesso à internet no âmbito do
Ministério do Meio Ambiente e Mudança do Clima.
2. MOTIVAÇÕES
2.1.
Alinhamento
às
normas,
regulamentações
e
melhores
práticas
relacionadas à matéria.
2.2. Proteção da Rede Nacional de Computadores do Ministério do Meio
Ambiente e Mudança do Clima.
2.3. Correto direcionamento e dimensionamento de recursos tecnológicos
para prover o serviço de acesso à internet.
2.4. Orientações gerais para gestores e usuários de serviços de Tecnologia
da Informação (TI) do Ministério do Meio Ambiente e Mudança do Clima.
3. REFERÊNCIAS NORMATIVAS
3.1. Instrução Normativa nº 1, de 27 de maio de 2020, do GSI/PR, que
dispõe sobre a Estrutura de Gestão da Segurança da Informação nos órgãos e nas
entidades da administração pública federal.
3.2. Instrução Normativa GSI/PR nº 6, de 23 de dezembro de 2021 que
estabelece diretrizes de SI para o uso seguro de mídias sociais nos órgãos e nas
entidades da administração pública federal.
3.3. Norma Complementar nº 07/IN01/DSIC/GSIPR, de 15 de julho de 2014,
que estabelece diretrizes para a implementação de controles de acesso à Segurança da
Informação e Comunicações, nos órgãos e entidades da Administração Pública Federal
(APF), direta e indireta.
3.4. Norma Técnica ABNT NBR ISO/IEC 27001:2013, que especifica os
requisitos para estabelecer, implementar, manter e melhorar continuamente um
sistema de gestão da SI dentro do contexto da organização.
3.5. Norma Técnica ABNT NBR ISO/IEC 27002:2013, que fornece diretrizes
para práticas de gestão de segurança da informação.
3.6. Instrução Normativa nº 1, de 04 de abril de 2019, que dispõe sobre o
processo de contratação de soluções de Tecnologia da Informação e Comunicação (TIC)
pelos órgãos e entidades integrantes do Sistema de Administração dos Recursos de
Tecnologia da Informação (SISP) do Poder Executivo Federal.
4. CONCEITOS E DEFINIÇÕES
4.1. Para os fins desta Norma, adota-se os conceitos e definições constantes
do Glossário de Segurança da Informação, conforme Portaria GSI/PR nº 93, de 18 de
outubro de 2021.
5. DIRETRIZES
5.1. O acesso à internet dar-se-á, exclusivamente, pelos meios autorizados,
configurados pela Coordenação Geral de Tecnologia da Informação (CGTI).
5.2. O acesso à internet é disponibilizado pelo Ministério do Meio Ambiente
e Mudança do Clima para uso nas atividades relacionadas ao trabalho, observado o
disposto na Política de Segurança da Informação e seus anexos.
5.3. É expressamente proibido:
5.3.1. Utilização intencional de aplicações, ou serviços, para burlar as
ferramentas de controle e segurança do Ministério do Meio Ambiente e Mudança do
Clima.
5.3.2. Utilização de proxies externos, ou similares, sem a autorização da
CGT I .
5.3.3. Utilizar programas de troca de mensagens em tempo real (bate-papo),
ou programas para troca de conteúdo via rede ponto-a-ponto (peer-to-peer), exceto
programas homologados pela CGTI, ou autorizados pelo Comitê de Segurança da
Informação (CSIN).
5.3.4. Utilizar programas e/ou acessar páginas de áudio e vídeo em tempo
real, ou sob demanda, que não estejam relacionados às atividades laborais, exceto
programas, ou páginas homologadas pela CGTI, ou autorizados pelo CSIN.
5.3.5. Acessar sítios que representem ameaça de segurança, ou que possam
comprometer, de alguma forma, a integridade da rede de computadores do Ministério
do Meio Ambiente e Mudança do Clima.
5.3.6. Acessar ou fazer download de arquivos não relacionados ao trabalho,
em especial de músicas, imagens, vídeos, jogos e programas de qualquer tipo.
5.3.7. A liberação de acesso aos sítios e serviços bloqueados, quando
necessários ao desempenho das atribuições funcionais do usuário, dependerá de
solicitação, devidamente justificada, à área de Tecnologia da Informação, que a
submeterá, quando for o caso, ao CSIN para deliberação.
5.3.8. Acessar páginas de conteúdo considerado ofensivo, ilegal, impróprio,
ou incompatível com as atividades funcionais, tais como: pornografia, pedofilia,
racismo, jogos e páginas de distribuição e de compartilhamento de software.
5.3.8.1. As restrições de que tratam o item 5.3 podem ser flexibilizadas em
virtude do trabalho, desde que previamente autorizada pelo CSIN, ou pela SPOA, em
processo de solicitação devidamente documentado pela área requisitante.
5.4. Todo tráfego de internet será controlado de forma automática e poderá
ser inspecionado por soluções de segurança implementadas pela CGTI, tais como: filtros
de conteúdo, proxy, DLP, dentre outras; configuradas de acordo com os limites
estabelecidos nesta POSIN, em normas e em outra legislação pertinente ao tema.
5.5. À critério
da SPOA, poderão ser adotadas
medidas visando à
manutenção da disponibilidade e da qualidade do acesso à internet, seja em situações
normais de funcionamento, seja em situações de contingência, tais como:
5.5.1. Bloqueios totais, ou parciais
e/ou priorização de acessos a
determinados sítios e serviços;
5.5.2. Limitação de banda de tráfego de dados; e
5.5.3. Bloqueios de recursos de acesso remoto.
5.6 - As medidas identificadas no item 5.5, quando implementadas, serão
comunicadas às equipes de suporte técnico, a fim de possibilitar o repasse de
informações aos usuários interessados.
5.7. Os processos de contratações de serviço de acesso à internet devem
ser gerenciados pela CGTI de modo a garantir a implementação dos recursos de
Segurança da Informação (SI).
5.7.1. Desde que verificadas a viabilidade técnica e econômica, sempre que
identificada a necessidade, poderão ser contratados os serviços de links redundantes
para garantir a alta disponibilidade do serviço de acesso à internet.
5.7.1.1. O link redundante é um link alternativo, ou auxiliar, que serve como
suporte, ou opção ao link principal de uma rede em caso de uma queda.
5.7.1.2. O link redundante poderá ser configurado para atuar de forma
agregada ao link principal, ampliando, assim, a capacidade do serviço de acesso à
internet ofertado pelo link principal.
6. MONITORAMENTO E AUDITORIAS
6.1. Por motivos de segurança, todo acesso à internet fornecido pelo
Ministério do Meio Ambiente e Mudança do Clima será monitorado e os registros
serão mantidos pela CGTI.
6.2. Em caso de indícios de descumprimento das diretrizes previstas nesta
norma, desde que devidamente apresentados os registros dos indícios, poderá ser
solicitada, por qualquer servidor ao CSIN, a realização de auditoria extraordinária.
6.3. Os relatórios decorrentes das auditorias ordinárias e extraordinárias
serão encaminhados ao CSIN, para os devidos fins.
6.4. Os registros de acessos dos usuários poderão ser analisados pela CGTI
para investigação de incidentes que comprometam a segurança das informações
institucionais.
6.5. Os registros de acesso dos usuários poderão ser fornecidos aos órgãos
de segurança para investigações quanto a incidentes de segurança.
6.6. Os registros de acesso
poderão ser disponibilizados a outras
instituições, desde que para atender a determinações judiciais.
7. ATUALIZAÇÃO DA NORMA
7.1. O disposto na presente norma será atualizado sempre que alterados os
procedimentos de controle de acesso à internet, observada, ainda, a periodicidade
prevista para a revisão da POSIN.
ANEXO II
NORMA DE SEGURANÇA DA INFORMAÇÃO - NSI 002/2023
SERVIÇO DE CORREIO ELETRÔNICO INSTITUCIONAL
1. OBJETIVO
1.1. Estabelecer diretrizes e padrões para utilização do serviço de correio
eletrônico institucional no âmbito do Ministério do Meio Ambiente e Mudança do
Clima.
2. MOTIVAÇÕES
2.1.
Alinhamento
às
normas,
regulamentações
e
melhores
práticas
relacionadas à matéria.
2.2. Proteção da Rede Nacional de Computadores do Ministério do Meio
Ambiente e Mudança do Clima.
2.3. Correto direcionamento e dimensionamento de recursos tecnológicos
para prover o serviço de acesso à internet.
2.4. Orientações gerais para gestores e usuários de serviços de tecnologia
da Informação do Ministério do Meio Ambiente e Mudança do Clima.
3. REFERÊNCIAS NORMATIVAS
3.1. Instrução Normativa nº 1, de 27 de maio de 2020, do GSI/PR que
dispõe sobre a Estrutura de Gestão da SI nos órgãos e nas entidades da APF.
3.2. Norma Complementar nº 07/IN01/DSIC/GSIPR, de 15 de julho de 2014,
que estabelece diretrizes para a implementação de controles de acesso à Segurança da
Informação e Comunicações, nos órgãos e entidades da APF, direta e indireta.
3.3. Norma Técnica ABNT NBR ISO/IEC 27001:2013, que especifica os
requisitos para estabelecer, implementar, manter e melhorar continuamente um
sistema de gestão da SI dentro do contexto da organização.
3.4. Norma Técnica ABNT NBR ISO/IEC 27002:2013, que fornece diretrizes
para práticas de gestão de SI.
3.5. Instrução Normativa nº 1, de 04 de abril de 2019, que dispõe sobre o
processo de contratação de soluções de Tecnologia da Informação e Comunicação - TIC
pelos órgãos e entidades integrantes do Sistema de Administração dos Recursos de
Tecnologia da Informação - SISP do Poder Executivo Federal.
4. CONCEITOS E DEFINIÇÕES
4.1. Para os fins desta Norma, adota-se os conceitos e definições constantes
do Glossário de Segurança da Informação, conforme Portaria GSI/PR nº 93, de 18 de
outubro de 2021.
5. DIRETRIZES
5.1. CAIXAS POSTAIS DE CORREIO
ELETRÔNICO (criação, alteração e
exclusão).
5.1.1. As caixas postais são identificadas unicamente por meio de seu
endereço eletrônico.
5.1.2. No âmbito deste Ministério, o domínio do endereço eletrônico é
"mma.gov.br".
5.1.3. A capacidade máxima de armazenamento padrão das caixas postais
será de 100 gigabytes (GB).
5.1.4. Somente serão criadas: caixa postal institucional pessoal, caixa postal
institucional da unidade, ou caixa postal de sistema, ou serviço.
5.1.5. As solicitações de criação, alteração e exclusão de caixas postais
devem ser encaminhadas à Coordenação Geral de Tecnologia da Informação (CGTI).
5.2. CAIXA POSTAL INSTITUCIONAL PESSOAL.
5.2.1. A caixa
postal institucional pessoal é destinada
ao envio e
recebimento de correspondências relacionadas às atividades laborais dos usuários, não
devendo ser utilizada como repositório de documentos, de forma que:
I - Documentos de interesse
institucionais recebidos na caixa postal
institucional pessoal devem ser imediatamente encaminhados para a caixa postal da
unidade, ou inseridos no SEI;
II - Todos os e-mails enviados com o uso da caixa postal institucional
pessoal deverão ser encaminhados com a identificação mínima do nome e cargo do
remetente, preferencialmente com o uso do modelo de assinatura fornecido pelo
Ministério do Meio Ambiente e Mudança do Clima.
5.2.2. Servidores efetivos
5.2.2.1. Todo servidor lotado no Ministério do Meio Ambiente e Mudança
do Clima terá uma caixa postal institucional pessoal.
5.2.2.2. A criação de caixa postal institucional pessoal de servidor será feita
pela CGTI, após a formalização da demanda pela chefia imediata ou pela Coordenação
Geral de Gestão de Pessoas (CGGP).
5.2.2.3. O identificador do endereço de correio eletrônico será formado pelo
primeiro nome e pelo último sobrenome do servidor, separados pelo sinal de
ponto.
5.2.2.4. Em situações justificadas, o identificador dos endereços de correio
eletrônico poderá ser formado segundo outra ordem, ou abreviação do nome do
usuário.
5.2.2.5. A adequação dos endereços
de correio eletrônico que não
correspondam ao padrão estabelecido por esta norma será solicitada à CGTI pelo
usuário interessado.
5.2.2.6. A caixa postal institucional pessoal de servidores será excluída
definitivamente
nos casos
de:
falecimento,
exoneração, demissão,
redistribuição,
aposentadoria, remoção, permuta, vacância por posse em outro cargo inacumulável e
cessão permanente a outro órgão, ou retorno ao órgão originário.
5.2.2.7. Ocorridos os fatos descritos no item anterior, incumbe à CGGP
comunicá-los à CGTI, no prazo de até 5 (cinco) dias da publicação do ato respectivo,
exceto nos casos de demissão, quando a comunicação deverá ocorrer de imediato à
ciência do afastamento pela CGGP.
5.2.2.8. Não ocorrerá a exclusão da caixa postal institucional pessoal nos
casos de licenças, ou quando solicitada a manutenção da caixa postal pela CGGP.
5.2.2.9. A exclusão da caixa postal institucional pessoal será realizada
somente após comunicada, pela CGGP, a decisão administrativa definitiva.
5.2.2.10. Nos demais casos de que trata o item 5.2.2.6, incumbe à CGTI:
I - no prazo de 5 (cinco) dias, informar ao servidor da data da exclusão
definitiva da respectiva caixa postal;
II - no prazo de 20 (vinte) dias, excluir definitivamente a caixa postal.
5.2.2.11. Em caso de cessão temporária, a caixa postal institucional pessoal
será bloqueada durante o período em que o servidor esteja em exercício em outro
órgão, desde que não seja solicitada a manutenção do serviço pela CGGP.
5.2.3. Servidores temporários
5.2.3.1. Todo servidor temporário poderá ter uma caixa postal institucional
pessoal, desde que solicitada pela chefia imediata.
5.2.3.2. A criação de caixa postal institucional pessoal de servidor será feita
pela CGTI, após a formalização da demanda, que deve ser solicitada pela chefia
imediata.
5.2.3.3. O identificador do endereço de correio eletrônico será formado pelo
primeiro nome e pelo último sobrenome do servidor, separados pelo sinal de
ponto.
5.2.3.4. Em situações justificadas, o identificador dos endereços de correio
eletrônico poderá ser formado segundo outra ordem ou abreviação do nome do
usuário.
5.2.3.5. A adequação dos endereços
de correio eletrônico que não
correspondam ao padrão estabelecido nesta norma será solicitada à CGTI, pelo usuário
interessado.
5.2.3.6. A caixa postal institucional pessoal de servidores será excluída
definitivamente
nos casos
de:
falecimento,
exoneração, demissão,
redistribuição,
aposentadoria, remoção, permuta, vacância por posse em outro cargo inacumulável e
cessão permanente a outro órgão, ou retorno ao órgão de origem.
5.2.3.7. Ocorridos os fatos descritos no item anterior, incumbe à CGGP
comunicá-los à CGTI, no prazo de até 5 (cinco) dias úteis da publicação do ato
respectivo, exceto nos casos de demissão, quando a comunicação deverá ocorrer de
imediato à ciência do afastamento pela CGGP.
Fechar