Copyright © Dia Oficial 2024 | contato@diaoficial.com

DOU 28/06/2024 - Diário Oficial da União - Brasil 

                            Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152024062800021
21
Nº 123, sexta-feira, 28 de junho de 2024
ISSN 1677-7042
Seção 1
VI - segurança cibernética: também conhecido por cibersegurança, são ações
voltadas para a segurança de operações, visando garantir que os sistemas de informação
sejam capazes de resistir a eventos no espaço cibernético, capazes de comprometer a
disponibilidade, a integridade, a confidencialidade e a autenticidade dos dados
armazenados, processados ou transmitidos e dos serviços que esses sistemas ofereçam ou
tornem acessíveis; e
VII - segurança da informação: ações que objetivam viabilizar e assegurar a
disponibilidade, a integridade, a confidencialidade e a autenticidade das informações.
Parágrafo único. A Secretaria Executiva do CSI será exercida pela Coordenação-
Geral de Tecnologia da Informação.
SEÇÃO II - DOS OBJETIVOS
Art. 3º São objetivos da Estrutura de Gestão de Segurança da Informação:
I - Fomentar a cultura de Segurança da Informação;
II - Orientar as ações de relacionadas à Segurança da Informação e dados
custodiados pelo Ministério das Cidades;
III - Contribuir para preservação da memória do Ministério da Cidades;
IV - Fomentar a formação e qualificação dos recursos humanos da área de
Segurança da Informação do Ministério das Cidades; e
V - Contribuir para a garantia da proteção de dados pessoais custodiados no
Ministério das Cidades.
SEÇÃO III - DA ORGANIZAÇÃO
Art. 4º Compõem a Estrutura de Gestão de Segurança da Informação do
Ministério das Cidades:
I - Gestor de Segurança da Informação, que o coordenará;
II - Comitê de Segurança da Informação; e
III - Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos.
CAPÍTULO II
GESTOR DE SEGURANÇA DA INFORMAÇÃO
SEÇÃO I - DAS DISPOSIÇÕES GERAIS
Art. 5º O Gestor de Segurança da Informação será designado dentre os
servidores públicos civis ocupantes de cargo efetivo e militares de carreira do órgão ou
entidade, com formação ou capacitação técnica compatível às suas atribuições.
Art. 6º O Gestor de Segurança da Informação será indicado pela Autoridade
Máxima da Pasta.
SEÇÃO II - DAS COMPETÊNCIAS
Art. 7º O Gestor de Segurança da Informação, nos termos da Instrução
Normativa nº 1 de 27 de maio de 2020, é responsável por:
I - planejar, implementar e melhorar continuamente os controles de segurança
da informação em ativos de informação, no âmbito do Ministério das Cidades; (Redação
dada pela Portaria SGD/MGI nº 852, de 28 de março de 2023);
II - coordenar o Comitê de Segurança da Informação;
III - coordenar a elaboração da Política de Segurança da Informação e das normas
internas de segurança da informação do Ministério das Cidades, observadas as normas afins
exaradas pelo Gabinete de Segurança Instrucional da Presidência da República;
IV - assessorar a alta administração na implementação da Política de Segurança
da Informação;
V - estimular ações de capacitação e de profissionalização de recursos humanos
em temas relacionados à segurança da informação;
VI - promover a divulgação da política e das normas internas de segurança da
informação do Ministério das Cidades a todos os servidores, usuários e prestadores de
serviços que trabalham no órgão;
VII - incentivar estudos de novas tecnologias, bem como seus eventuais
impactos relacionados à segurança da informação;
VIII - propor recursos necessários às ações de segurança da informação;
IX - coordenar a instituição, implementação e manutenção da infraestrutura
necessária à Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos - ETIR;
X - acompanhar os trabalhos da ETIR;
XI - verificar os resultados dos trabalhos de auditoria sobre a gestão da
segurança da informação;
XII - acompanhar a aplicação de ações corretivas e administrativas cabíveis nos
casos de violação da segurança da informação; e
XIII - manter contato direto com o Departamento de Segurança da Informação
do Gabinete de Segurança Institucional da Presidência da República em assuntos relativos
à segurança da informação.
CAPÍTULO III
COMITÊ DE SEGURANÇA DA INFORMAÇÃO
SEÇÃO I - DAS DISPOSIÇÕES GERAIS
Art. 8º Fica instituído o Comitê de Segurança da Informação - CSI, no âmbito do
Ministério das Cidades, que tem como finalidade deliberar sobre os assuntos relativos à
Política Nacional de Segurança da Informação, conforme previsto no inciso II do art. 15 da
Instrução Normativa nº 1 de 27 de novembro de 2019.
SEÇÃO II - DA COMPOSIÇÃO
Art. 9º O CSI será composto por:
I - o Gestor de Segurança da Informação, que o coordenará;
II - um representante do Gabinete do Ministro;
III - um representante da Secretaria Executiva;
IV - um representante de cada secretaria finalística;
V - o Coordenador-Geral de Tecnologia da Informação; e
VI - o Encarregado pelo Tratamento de Dados Pessoais.
SEÇÃO III - DAS ATRIBUIÇÕES
Art. 10 O CSI, conforme definido no art. 20 da Instrução Normativa nº 1 de 27
de novembro de 2019, possui as seguintes atribuições:
I - assessorar a implementação das ações de segurança da informação;
II - constituir grupos de trabalho para tratar de temas e propor soluções
específicas sobre segurança da informação;
III - participar da elaboração da Política de Segurança da Informação e das
normas internas de segurança da informação;
IV - propor alterações à Política de Segurança da Informação e às normas
internas de segurança da informação; e
V - deliberar sobre normas internas de segurança da informação.
SEÇÃO IV - DO COORDENADOR
Art. 11 Compete ao Coordenador do Comitê:
I - presidir a reunião;
II - definir a pauta da reunião do Plenário, ouvidos os demais integrantes do Comitê;
III - submeter as matérias constantes da pauta à discussão e, quando
necessário, à votação;
IV - solicitar aos órgãos ou entidades que não compõem o Comitê a indicação
de representantes para participar das reuniões do colegiado, sem direito a voto;
V - convidar especialistas que possam contribuir para esclarecimentos de
matérias de interesse do Comitê;
VI - propor ao Plenário a criação de grupos de trabalhos; e
VII - determinar a publicação de resoluções em Boletim Interno;
SEÇÃO V - DOS INTEGRANTES
Art. 12 Compete aos integrantes do CSI:
I - comparecer às reuniões quando convocados;
II - solicitar estudo, informação e proposta sobre temas específicos a serem
submetidos ao Plenário;
III - propor a participação de órgãos, entidades e especialistas que possam
contribuir para esclarecimento de assunto de interesse do Comitê nas reuniões do
Colegiado, sem direito a voto;
IV - propor ao Plenário a criação de grupos de trabalho; e
V - acompanhar as ações relativas à execução das deliberações do Comitê.
SEÇÃO VI - DO FUNCIONAMENTO
Art. 13 As reuniões do Comitê Gestor da Segurança da Informação ocorrerão,
em primeira convocação, com a presença da maioria simples de seus componentes ou, 15
(quinze) minutos após a hora estabelecida, em segunda convocação, com a presença
mínima de 1 (um) terço de seus membros.
Art. 14 As sessões de deliberações do Comitê obedecerão à seguinte ordem:
I - verificação do quórum;
II - aprovação da pauta e da ordem em que as matérias serão apreciadas;
III - aprovação da ata anterior; e
IV - análise das matérias sujeitas à deliberação.
Art. 15 A deliberação das matérias obedecerá a seguinte ordem:
I - o Coordenador concederá a palavra ao integrante que encaminhou a matéria
objeto de discussão, que a relatará;
II - terminada a exposição, a matéria será colocada em discussão; e
III - encerrada a discussão e não havendo consenso, o Coordenador
encaminhará a matéria à votação.
Parágrafo único. O Colegiado deliberará, quando não houver consenso, por
maioria simples de seus membros titulares ou suplentes presentes à reunião, mediante
votação nominal e aberta, cabendo ao Coordenador o voto regular e o de qualidade, em
caso de empate.
Art. 16 Qualquer membro do Plenário poderá propor ao Coordenador, com
antecedência mínima de 10 (dez) dias da data prevista para a reunião, convite a
especialistas e representantes de órgãos e entidades que possam contribuir para
esclarecimento sobre matéria de interesse do Comitê.
Parágrafo único. Os membros convidados participarão das reuniões apenas nos
momentos pertinentes aos seus respectivos temas, sem direito a voto.
Art. 17 O Plenário deliberará por maioria simples de seus membros titulares ou
suplentes presentes, considerando um voto para cada órgão integrante do Comitê,
cabendo ao Coordenador do colegiado, além do voto ordinário, o voto de qualidade em
caso de empate.
Art. 18 As deliberações aprovadas no Plenário serão publicadas em Boletim
Interno, na forma de Resoluções, pela Secretaria Executiva.
Art. 19 O documento de convocação deverá constar:
I - a pauta da reunião;
II - a ata da reunião anterior;
III - a minuta dos documentos a serem apreciados pelo Comitê; e
IV - a relação dos órgãos, entidades, ou especialistas convidados, quando for o caso.
Art. 20 A convocação da reunião ordinária deverá ocorrer com antecedência
mínima de 15 (quinze) dias da data de sua realização.
Art. 21 É facultado a qualquer membro do Comitê apresentar proposta de
inclusão de tema em pauta, desde que encaminhada à Coordenação do Comitê com
antecedência mínima de 10 (dez) dias da data programada com cópia para os demais
membros titulares.
Parágrafo único. As manifestações contrárias às propostas de inclusão de tema
deverão ser remetidas pelos membros titulares para análise da Coordenação do Comitê até
5 (cinco) dias antes da data da reunião.
Art. 22 Os registros das reuniões do Plenário serão lavrados em atas que
informarão o local, a data da realização, os nomes dos membros titulares ou suplentes
presentes, bem como, dos demais participantes e convidados, com o respectivo resumo
dos assuntos apresentados, as decisões tomadas e as deliberações do Comitê.
Parágrafo único. A Secretaria Executiva do Comitê confeccionará as atas das
reuniões e encaminhará cópias, em até 5 (cinco) dias úteis, a todos os integrantes.
Art. 23 Os membros do Comitê de Segurança da Informação se reunirão
presencialmente ou por meio de videoconferência.
CAPÍTULO IV
EQUIPE DE PREVENÇÃO, TRATAMENTO E RESPOSTA A INCIDENTES CIBERNÉTICOS
SEÇÃO I - DAS DISPOSIÇÕES INICIAIS
Art. 24 Para fins deste regimento, consideram-se as seguintes definições
I - Agente responsável: Servidor Público ocupante de cargo efetivo ou militar de
carreira de órgão ou entidade da Administração Pública Federal, direta ou indireta
incumbido de chefiar e gerenciar a Equipe de Tratamento e Resposta a Incidentes em
Redes Computacionais;
II - Artefato malicioso: é qualquer programa de computador, ou parte de um
programa, construído com a intenção de provocar danos, obter informações não
autorizadas ou interromper o funcionamento de sistemas e/ou redes de computadores;
III - Comunidade ou Público-alvo: é o conjunto de pessoas, setores, órgãos ou
entidades atendidas por uma Equipe de Tratamento e Resposta a Incidentes em Redes
Computacionais;
IV - CTIR GOV: Centro de Tratamento e Resposta a Incidentes de Segurança em
Redes de Computadores da Administração Pública Federal, subordinado ao Departamento
de Segurança de Informação e Comunicações - DSIC do Gabinete de Segurança Institucional
da Presidência da República - GSI;
V - Equipe de Tratamento e Resposta a Incidentes Cibernéticos - ETIR: Grupo de
pessoas com a responsabilidade de receber, analisar e responder às notificações e
atividades relacionadas a incidentes de segurança em redes de computadores;
VI - Incidente de segurança: é qualquer evento adverso, confirmado ou sob
suspeita, relacionado à segurança dos sistemas de computação ou das redes de
computadores;
VII - Serviço: é o conjunto de procedimentos, estruturados em um processo bem
definido, oferecido à comunidade da Equipe de Tratamento e Resposta a Incidentes Cibernéticos;
VIII - Tratamento de Incidentes de Segurança Cibernéticos: é o serviço que
consiste em receber, filtrar, classificar e responder às solicitações e alertas e realizar as
análises dos incidentes de segurança, procurando extrair informações que permitam
impedir a continuidade da ação maliciosa e também a identificação de tendências; e
IX - Vulnerabilidade: é qualquer fragilidade dos sistemas computacionais e
redes de computadores que permitam a exploração maliciosa e acessos indesejáveis ou
não autorizados
Art. 25 Cabe ao Gestor de Segurança da Informação e ao Comitê de Segurança
da Informação a responsabilidade por coordenar a instituição, implementação e
manutenção da infraestrutura necessária à ETIR.
SEÇÃO II - DA MISSÃO
Art. 26 A ETIR do Ministério das Cidades tem como missão prioritária facilitar e
coordenar as atividades de tratamento e resposta a incidentes em redes computacionais,
receber e notificar qualquer evento adverso, confirmado ou sob suspeita, relacionado à
segurança dos sistemas de computação ou das redes de computadores.
Art. 27 A ETIR atuará, desejavelmente, também de forma proativa com o
objetivo de minimizar o risco de que as vulnerabilidades sejam exploradas por ameaças e
venham a comprometer o negócio da Instituição a fim de contribuir para a adequada
prestação dos serviços do Ministério.
SEÇÃO III - DA COMUNIDADE OU PÚBLICO-ALVO
Art. 28 São considerados como comunidade, ou público-alvo, o conjunto de
pessoas, setores, órgãos ou entidades atendidas pela ETIR do Ministério das Cidades ou das
redes de terceiros as quais estão sendo usadas pela organização.
SEÇÃO IV - DO MODELO DE IMPLEMENTAÇÃO
Art. 29 O modelo de implementação no qual essa ETIR se baseia é o "Modelo
4 - Combinado ou Misto", descrito na subseção 7.4 da Norma Complementar 5 da
Instrução Normativa 1 do Gabinete de Segurança Institucional da Presidência da República,
de 14 de agosto de 2009.
Art. 30 No Modelo 4 - Combinado ou Misto - existirá uma ETIR Central e
equipes distribuídas pelo Ministério.
Art. 31 A ETIR Central será a responsável por criar as estratégias, gerenciar as
atividades e distribuir as tarefas entre as equipes descentralizadas, além de ser a
responsável, perante toda a organização, pela comunicação com o CTIR GOV.
Art. 32 As equipes distribuídas serão responsáveis por implementar as
estratégias e exercer suas atividades em suas respectivas áreas de responsabilidade.
SEÇÃO V - DA ESTRUTURA ORGANIZACIONAL
Art. 33 A ETIR ficará subordinada à Coordenação-Geral de Tecnologia da
Informação (CGTI/SPOA/SE).

Fechar