DOU 21/08/2024 - Diário Oficial da União - Brasil
Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152024082100018
18
Nº 161, quarta-feira, 21 de agosto de 2024
ISSN 1677-7042
Seção 1
procedimentos técnicos, ao mesmo tempo em que promove o comportamento adequado
dos colaboradores. Isso permite a aplicação da tecnologia adequada em todos os processos
e a efetiva proteção das informações em consonância com os objetivos do ministério, que
incluem compreender o negócio e aplicar medidas de segurança a ele.
Art. 3º Diversas ações e outros normativos de Segurança da Informação serão
implementados com o fim de padronizar e estabelecer regras sobre os processos
institucionais do MCOM.
3. ESCOPO
Art. 4º A Política de Segurança da Informação (POSIN) do Ministério das
Comunicações - MCOM, tem como principal objetivo estabelecer diretrizes e princípios que
orientam a segurança da informação no âmbito do MCOM. Essas diretrizes visam limitar a
exposição ao risco a níveis aceitáveis e garantir continuamente a disponibilidade,
integridade,
confidencialidade,
autenticidade,
irretroatividade
e
não-repúdio
das
informações que sustentam os objetivos estratégicos do ministério. Os objetivos específicos
da POSIN são os seguintes:
I - estabelecer diretrizes para a adoção de normas e procedimentos
relacionados à segurança da informação e comunicações no âmbito do MCOM;
II - fornecer ao MCOM normas que definem responsabilidades, diretrizes e
práticas adequadas
para o
manuseio, tratamento, controle
e proteção
contra
a
indisponibilidade, divulgação, modificação e acesso não autorizado de dados e
informações; e
III - definir um conjunto de instrumentos normativos e organizacionais que
capacitem o MCOM a assegurar a confidencialidade, a integridade, a autenticidade, o não-
repúdio, a irretroatividade e a disponibilidade dos dados e das informações.
Art. 5º Esta POSIN aplica-se a todos os órgãos de assistência direta e imediata
ao Ministro de Estado, aos órgãos específicos singulares e às unidades descentralizadas,
não se aplicando às entidades vinculadas ao MCOM e deverá ser fielmente observada por
todos os usuários: pessoa física, seja servidor ou equiparado, empregado ou prestador de
serviços, habilitada pela administração para acessar os ativos de informação de um órgão
ou entidade da administração pública federal, formalizada por meio da assinatura de
Termo de Responsabilidade, conforme definição da Portaria GSI/PR nº 93, de 18 de
outubro de 2021, sob pena de responsabilidade, na forma da lei.
4. CONCEITOS E DEFINIÇÕES
Art. 6º Esta POSIN utiliza-se do Glossário de Segurança da Informação,
aprovado pelo Gabinete de Segurança Institucional da Presidência da República por meio
da Portaria GSI/PR nº 93, de 18 de outubro de 2021.
5. PRINCÍPIOS
Art. 7º A Política de Segurança da Informação do MCOM está fundamentada
nos seguintes princípios:
I - autenticidade: propriedade pela qual se assegura que a informação foi
produzida, expedida, modificada ou destruída por uma determinada pessoa física,
equipamento, sistema, órgão ou entidade;
II - celeridade: as ações de segurança da informação oferecem respostas
rápidas a incidentes e falhas;
III - clareza: as regras de segurança dos ativos de segurança da informação e
comunicações são precisas, concisas e de fácil entendimento;
IV - confidencialidade: propriedade pela qual se assegura que a informação não
esteja disponível ou não seja revelada a pessoa, a sistema, a entidade ou a órgão não
autorizados nem credenciados;
V - disponibilidade: propriedade pela qual se assegura que a informação esteja
acessível e utilizável sob demanda por uma pessoa física ou determinado sistema, órgão ou
entidade devidamente autorizados;
VI - equanimidade: as normas e regras de segurança da informação são
obedecidas por todos, sem distinção de cargo ou função;
VII
-
ética: os
direitos
dos
agentes
públicos são
preservados
sem
comprometimento da segurança da informação e comunicações;
VIII - finalidade: as normas e regras de segurança da informação consideram a
finalidade dos ativos e das informações a que se referirem;
IX - integridade: propriedade pela qual se assegura que a informação não foi
modificada ou destruída de maneira não autorizada ou acidental;
X - irretroatividade: visa garantir que o sistema não permita a geração de
documentos de forma retroativa no tempo;
XI - menor privilégio: restringir o acesso às informações, ao estritamente
necessário ao exercício das funções;
XII - não-repúdio: visa garantir que o autor não negue ter criado e assinado o
documento;
XIII - privacidade: informação que fira o respeito, à intimidade, à integridade e
a honra dos cidadãos não podem ser divulgadas;
XIV - publicidade: dar transparência no trato das informações, observado os
critérios legais. Divulgar a todos os agentes públicos do MCOM as diretrizes e as normas
de segurança da informação; e
XV - responsabilidade/obediência: os agentes públicos têm o dever de conhecer
e respeitar todas as normas de segurança da informação e comunicações do MCOM.
6. DIRETRIZES GERAIS
Art. 8º É dever do agente público do MCOM conhecer e cumprir a POSIN.
Art. 9º É condição para acesso aos ativos de informação do MCOM a adesão
formal aos termos desta Política, mediante assinatura de Termo de Responsabilidade.
Art. 10. Todos os agentes públicos do MCOM são responsáveis pela segurança
dos ativos de informação e comunicações que estejam sob a sua responsabilidade e por
todos os atos executados com suas identificações, tais como: identificação de usuário da
rede (login), crachá, carimbo, endereço de correio eletrônico ou qualquer forma de
assinatura digital.
Art. 11. Os recursos de Tecnologia da Informação e Comunicação (TIC)
disponibilizados pelo MCOM devem ser utilizados estritamente dentro do seu propósito.
7. DIRETRIZES ESPECÍFICAS
Art. 12. Esta política aplica-se tanto no ambiente informatizado quanto nos
meios convencionais de processamento, comunicação e armazenamento da informação e
rege-se pelas seguintes diretrizes:
I - Acesso à Internet - os critérios e procedimentos para utilização de serviço de
acesso à internet no âmbito do MCOM estão definidos na Portaria MCOM nº 5.055, de 24
de março de 2022, que aprova a norma complementar para uso seguro de serviço de
acesso à internet, em conformidade com esta POSIN e demais orientações e diretrizes
legais;
II - Auditoria e Conformidade - o uso dos recursos de Tecnologia da Informação
e Comunicação (TIC) disponibilizados pelo MCOM é passível de monitoramento e auditoria,
com utilização, sempre que possível, de softwares utilitários específicos para
monitoramento do uso dos sistemas, e serão implementados e mantidos, sempre que
possível, mecanismos que permitam a rastreabilidade desse uso;
III - Computação em Nuvem - as diretrizes e procedimentos para a utilização
segura de soluções de computação em nuvem no âmbito do MCOM estão estabelecidas
pela Portaria MCOM nº 5.053, de 24 de março de 2022, que aprova a norma
complementar para utilização segura de soluções de computação em nuvem, em
conformidade com esta POSIN e outras orientações e diretrizes legais pertinentes;
IV - Controles de Acesso - as regras de acesso lógico e utilização são definidas
na Portaria MCOM nº 2.805, de 11 de junho de 2021, que aprova a norma complementar
para controle de acesso lógico do Ministério das Comunicações, em conformidade com
esta POSIN e demais orientações e diretrizes legais;
V - Gestão de Ativos de Informação - as diretrizes para o processo de inventário
e mapeamento de ativos de informação do MCOM estão definidas na Portaria MCOM nº
4.549, de 28 de janeiro de 2021, que aprova a norma complementar para inventário e
mapeamento de ativos de informação, em conformidade com esta POSIN e demais
orientações e diretrizes legais;
VI - Gestão de Continuidade:
a) o MCOM deve manter Processo de Gestão de Continuidade de Negócio
(PGCN) em segurança da informação e comunicações no âmbito do MCOM, visando reduzir
a possibilidade de interrupção causada por desastres ou falhas nos recursos de TIC que
suportam as operações do MCOM e assegurar a sua retomada em tempo hábil; e
b) o PGCN será regido por norma específica, em conformidade com esta POSIN
e demais orientações governamentais e legislação em vigor.
VII - Gestão de Cópias de Segurança e Restauração de Dados - as diretrizes para
o processo de cópia e armazenamento dos dados sob a guarda da Coordenação-Geral de
Tecnologia da Informação estão estabelecidas pela Portaria MCOM nº 4.547, de 28 de
janeiro de 2021, que aprova a norma complementar para cópia de segurança e restauração
de dados, em conformidade com esta POSIN e outras orientações e diretrizes legais
pertinentes;
VIII - Gestão de Incidentes em Segurança da Informação - as diretrizes para o
serviço de tratamento de incidentes cibernéticos estão definidas na Portaria MCOM nº
3.857, de 14 de outubro de 2021, que aprova a norma complementar para tratamento de
incidentes cibernéticos, em conformidade com esta POSIN e demais orientações e
diretrizes legais;
IX - Gestão de Risco - os princípios, diretrizes e responsabilidades a serem
observadas e seguidas para a gestão de riscos e de controles internos referentes aos
planos estratégicos, programas, projetos e processos do MCOM estão estabelecidos pela
Resolução CTIR nº 1/2021/SEI-MCTIC, que aprova a política de gestão de riscos e controle
interno do MCOM, em conformidade com esta POSIN e outras orientações e diretrizes
legais pertinentes;
X - Gestão de Vulnerabilidades - as diretrizes para o gerenciamento de
vulnerabilidades no âmbito do MCOM estão estabelecidas pela Portaria MCOM nº 7.475,
de 11 de novembro de 2022, que aprova a norma complementar para gerenciamento de
vulnerabilidades, em conformidade com esta POSIN e outras orientações e diretrizes legais
pertinentes;
XI - Propriedade da Informação:
a) toda informação criada, armazenada, transportada ou descartada pelos
agentes públicos do MCOM, no exercício de suas atividades, é de propriedade do órgão e
é protegida segundo as diretrizes descritas na POSIN e nas regulamentações em vigor;
b) na cessão de bases de dados nominais, informação custodiada ou de
propriedade do MCOM a terceiros, o curador do dado providenciará a documentação
formal relativa à cessão ou autorização de acesso às informações antes da sua
disponibilização, sobretudo para os dados aos quais se aplique a Lei Geral de Proteção de
Dados Pessoais (LGPD), Lei nº 13.709, de 14 de agosto de 2018; e
c) nos casos de obtenção de informações de terceiros, o gestor da área na qual
a informação será utilizada deverá, se necessário, providenciar junto à concedente a
documentação formal relativa à cessão de direitos sobre informações de terceiros antes de
seu uso, sobretudo no caso de titulares de dados pessoais aos quais se aplique a Lei nº
13.709/2018.
XII - Redes Sociais - as diretrizes para uso seguro de mídias sociais estão
definidas na Portaria MCOM nº 7.477, de 11 de novembro de 2022, que aprova a norma
complementar para uso seguro de mídias sociais, em conformidade com esta POSIN e
demais orientações e diretrizes legais;
XIII - Segurança física e do ambiente:
a) deverão ser implementados controles de acesso físico para o acesso às
dependências do Ministério das Comunicações, com a disponibilização de credenciais que
permitam o acesso dos agentes públicos às instalações do órgão;
b) deverão ser disponibilizadas credenciais de acesso físico também aos
visitantes, que permitirão o acesso destes às instalações do Ministério, sempre mediante
autorização de servidor da área visitada; e
c) nos casos de invalidação temporária ou definitiva das credenciais de acesso
de agentes públicos, o acesso aos ativos de informação do órgão dar-se-á mediante as
condições estabelecidas para os visitantes.
XIV - Tratamento da Informação:
a) toda informação criada, manuseada, armazenada, transportada, descartada
ou custodiada pelo MCOM é de sua responsabilidade e são classificadas e protegidas
adequadamente, quanto aos aspectos de confidencialidade, integridade, autenticidade e
disponibilidade, de forma explícita ou implícita, conforme o Decreto nº 7.845, de 14 de
novembro de 2012 e a Lei nº 13.709, de 14 de agosto de 2018;
b) a classificação e reclassificação da informação é atribuição do Gestor da
Informação, que é também responsável por conceder acesso a ela;
c) toda informação
institucional, se eletrônica, estará
armazenada nos
servidores de arquivo e bases de dados sob gestão e administração da área de TIC e, se
não eletrônica, mantida em local que a salvaguarde adequadamente mediante
comunicação a área de gestão documental do MCOM;
d) toda informação institucional, sob a forma eletrônica, estará salvaguardada
por meio de cópia de segurança sob administração da área de TIC e mantida em local que
a proteja adequadamente e garanta sua recuperação em caso de perda da informação
original;
e) no descarte de informações institucionais são observados as políticas, as
normas, os procedimentos internos, a classificação que a informação possui, bem como a
temporalidade prevista na legislação; e
f) as informações classificadas conforme a legislação vigente, produzida,
armazenada e transportada em meios eletrônicos, utilizará criptografia compatível com o
grau de sigilo, em especial as informações de autenticação dos usuários das aplicações;
e
XV - Uso de correio eletrônico - as regras para o uso de correio eletrônico no
âmbito do MCOM estão definidas na Portaria MCOM nº 3.858, de 14 de outubro de 2021,
que aprova a norma complementar para regulamentação do uso de correio eletrônico, em
conformidade com esta POSIN e demais orientações e diretrizes legais.
8. COMPETÊNCIAS E RESPONSABILIDADES
Art. 13. Compete à alta direção do MCOM:
I - prestar o suporte administrativo necessário à gestão da POSIN; e
II - garantir os recursos necessários para a execução da POSIN no âmbito do
M CO M .
Art. 14. Compete à área de TIC, conforme previsão na Portaria MCOM nº 8.374,
de 6 de fevereiro de 2023, coordenar campanhas de divulgação para a disseminação da
Política de Segurança da Informação e da cultura de segurança cibernética entre os
usuários dos recursos de TIC.
Art. 15. As competências da Equipe de Tratamento e Resposta a Incidentes
Cibernéticos - ETIR, estão definidas na Portaria nº 8.490, de 24 de fevereiro de 2023, que
dispõe sobre a política de governança do MCOM.
Art. 16. As competências do Subcomitê de Segurança da Informação - SINF,
estão definidas na Portaria nº 8.490, de 24 de fevereiro de 2023, que dispõe sobre a
política de governança do MCOM.
Art. 17. Compete ao Gestor de Segurança da Informação, a ser designado pela
alta administração:
I - coordenar o Subcomitê de Segurança da Informação ou estrutura
equivalente;
II - coordenar a elaboração das normas internas de segurança da informação do
órgão, observadas as normas afins exaradas pelo Gabinete de Segurança Institucional da
Presidência da República;
III - assessorar a alta administração na implementação da Política de Segurança
da Informação;
IV - estimular ações de capacitação e de profissionalização de recursos
humanos em temas relacionados à segurança da informação;
V - promover com o apoio da alta administração, a divulgação da política e das
normas internas de segurança da informação do órgão a todos os servidores, usuários e
prestadores de serviços que trabalham no órgão ou na entidade;
VI - incentivar estudos de novas tecnologias, bem como seus eventuais
impactos relacionados à segurança da informação;
VII - propor recursos necessários às ações de segurança da informação;
VIII - acompanhar os trabalhos da Equipe de Tratamento e Resposta a
Incidentes Cibernéticos;
IX - verificar os resultados dos trabalhos de auditoria sobre a gestão da
segurança da informação;
X - acompanhar a aplicação de ações corretivas e administrativas cabíveis nos
casos de violação da segurança da informação;
Fechar