Copyright © Dia Oficial 2025 | contato@diaoficial.com

DOU 22/10/2024 - Diário Oficial da União - Brasil 

                            Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152024102200049
49
Nº 205, terça-feira, 22 de outubro de 2024
ISSN 1677-7042
Seção 1
XVIII - evento: ocorrência gerada a partir de fontes internas ou externas que
pode resultar em uma ou mais consequências de impacto negativo, positivo ou ambos,
sendo que os eventos que causam impacto negativo representam riscos negativos e
aqueles que causam impacto positivo representam riscos positivos, conforme definido pela
Deliberação Susep nº 233, de 06 de Dezembro de 2020 - Política de Gestão de Riscos da
Susep;
XIX - gestão de riscos: conjunto de conceitos, princípios, competências e
diretrizes para dirigir e controlar uma instituição no que se refere a riscos, conforme
definido pela Deliberação Susep nº 233, de 2020 - Política de Gestão de Riscos da
Susep;
XX - gestor do ativo: gestor da unidade designada para responder pelo ativo
como parte de sua atribuição regimental ou, nos casos omissos, por designação específica
de superior hierárquico, ou ato normativo, tornando-se responsável pela sua segurança;
XXI - grau de sigilo: gradação atribuída a ativos de informação em decorrência
do teor e elementos intrínsecos das informações e dados sigilosos que contenham;
XXII - impacto: grau ou importância dos efeitos da ocorrência de um risco,
estabelecido a partir de uma escala predefinida de magnitudes possíveis, conforme
definido pela Política de Gestão de Riscos da Susep;
XXIII -incidente: interrupção não planejada ou redução da qualidade de um
serviço, ou seja, ocorrência, ação ou omissão, que tenha permitido, ou possa vir a
permitir, acesso não autorizado, interrupção ou mudança nas operações (inclusive pela
tomada de controle), destruição, dano, deleção ou mudança da informação protegida,
remoção ou limitação de uso da informação protegida ou ainda a apropriação,
disseminação e publicação indevida de informação protegida de algum ativo de
informação crítico ou de alguma atividade crítica por um período de tempo inferior ao
tempo objetivo de recuperação;
XXIV - informação sigilosa: informação submetida temporariamente à restrição
de acesso público, em razão de sua imprescindibilidade para a segurança da sociedade e
do Estado; e aquela abrangida pelas demais hipóteses legais de sigilo;
XXV -integridade: propriedade pela qual se assegura que a informação não foi
modificada ou destruída de maneira não autorizada ou acidental;
XXVI - necessidade de conhecer: condição segundo a qual o conhecimento da
informação classificada é indispensável para o adequado exercício de cargo, função,
emprego ou atividade, descrevendo a restrição de dados que sejam considerados
extremamente sigilosos; sob restrições do tipo necessidade de conhecer, mesmo que um
indivíduo tenha as credenciais necessárias para acessar uma determinada informação, ele
só terá acesso a essa informação caso ela seja estritamente necessária para a condução
de suas atividades oficiais;
XXVII - privilégio mínimo: definição de permissões de acesso a informações de
modo que as ações possíveis de um colaborador estejam limitadas àquelas necessárias ao
desempenho de sua função;
XXVIII - quebra de segurança: ação ou omissão, intencional ou acidental, que
resulta no comprometimento da Segurança da Informação;
XXIX - reclassificação: alteração da classificação de ativos de informação;
XXX - risco: efeito da incerteza nos objetivos, onde o efeito é um desvio em
relação ao esperado (positivo ou negativo), conforme definido pela Política de Gestão de
Riscos da Susep;
XXXI - tratamento de riscos: processo de seleção e implantação de medidas
que visem a modificar os riscos;
XXXII - unidade: parte integrante da estrutura organizacional da Susep, com
sigla e atribuições definidas no Regimento Interno da Autarquia; e
XXXIII - vulnerabilidade: condição que, quando explorada por um criminoso
cibernético, pode resultar em uma violação de segurança cibernética dos sistemas
computacionais ou redes de computadores, e consiste na interseção de três fatores:
suscetibilidade ou falha do sistema, acesso possível à falha e capacidade de explorar essa
falha.
Parágrafo único. As definições constantes na Portaria GSI/PR nº 93, de 18 de
outubro de 2021, aplicam-se subsidiariamente a este ato normativo.
CAPÍTULO III
DAS REFERÊNCIAS LEGAIS E NORMATIVAS
Art. 4º A Posin obedecerá à legislação e às normas específicas, destacando-
se:
I - Lei nº 8.112, de 11 de dezembro de 1990, que dispõe sobre o regime
jurídico dos servidores públicos civis da União, das autarquias e das fundações públicas
federais;
II - Lei nº 8.159, de 8 de janeiro de 1991, que dispõe sobre a Política Nacional
de Arquivos Públicos e Privados e dá outras providências;
III - Lei nº 12.527, de 18 de novembro de 2011, que regula o acesso a
informações previsto no inciso XXXIII do art. 5º, no inciso II do § 3º do art. 37 e no § 2º
do art. 216 da Constituição Federal; altera a Lei nº 8.112, de 11 de dezembro de 1990;
revoga a Lei nº 11.111, de 5 de maio de 2005, e dispositivos da Lei nº 8.159, de 8 de
janeiro de 1991; e dá outras providências;
IV - Lei nº 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de
Dados;
V - Decreto nº 1.171, de 22 de junho de 1994, que aprova o Código de Ética
Profissional do Servidor Público Civil do Poder Executivo Federal;
VI - Decreto nº 4.073, de 3 de janeiro de 2002, que regulamenta a Lei nº
8.159, de 8 de janeiro de 1991;
VII - Decreto nº 7.724, de 16 de maio de 2012, que regulamenta a Lei nº
12.527, de 18 de novembro de 2011;
VIII -Decreto nº 7.845, de 14 de novembro de 2012, que regulamenta
procedimentos
para credenciamento
de segurança
e
tratamento de
informação
classificada em qualquer grau de sigilo, e dispõe sobre o Núcleo de Segurança e
Credenciamento;
IX -Decreto nº 9.637, de 26 de dezembro de 2018, que institui a Política
Nacional de Segurança da Informação;
X -Decreto nº 10.748, de 16 de julho de 2021, que Institui a Rede Federal de
Gestão de Incidentes Cibernéticos;
XI -Instrução Normativa GSI/PR nº 01, de 27 de maio de 2020, que dispõe
sobre a Estrutura de Gestão da Segurança da Informação nos órgãos e nas entidades da
administração pública federal;
XII -Instrução Normativa GSI/PR nº 03, de 28 de maio de 2021, que dispõe
sobre os processos relacionados à gestão de segurança da informação nos órgãos e nas
entidades da administração pública federal;
XIII - Norma Complementar nº 05/IN01/DSIC/GSIPR, de 14 de agosto de 2009,
que disciplina a criação de Equipe de Tratamento e Resposta a Incidentes em Redes
Computacionais - Etir nos órgãos e entidades da Administração Pública Federal, direta e
indireta - APF;
XIV -Portaria GSI/PR nº 93, de 26 de setembro de 2019, que aprova o Glossário
de Segurança da Informação;
XV -Norma Complementar nº 08/IN01/DSIC/GSIPR, 19 de agosto de 2010, que
disciplina o gerenciamento de Incidentes de Segurança em Redes de Computadores
realizado pelas Equipes de Tratamento e Resposta a Incidentes de Segurança em Redes
Computacionais - Etir dos órgãos e entidades da Administração Pública Federal, direta e
indireta - APF;
XVI - Norma Complementar n.º 09/IN01/DSIC/GSIPR, de 19 de novembro de
2010, que estabelece orientações específicas para o uso de recursos criptográficos como
ferramenta de controle de acesso em Segurança da Informação e Comunicações, nos
órgãos ou entidades da Administração Pública Federal, direta e indireta - APF;
XVII - Normas ABNT NBR ISO/IEC 27001, 27002 e 27005, que instituem
melhores práticas para gestão da segurança da informação;
XVIII - Deliberação Susep nº 135, de 20 de abril de 2009, que aprova o Código
de Ética Profissional do Servidor da Superintendência de Seguros Privados - Susep;
XIX - Deliberação Susep nº 233, de 06 de Dezembro de 2019 - Política de
Gestão de Riscos da Susep;
XX - Decreto nº 10.748, de 16 de julho de 2021, que Institui a Rede Federal de
Gestão de Incidentes Cibernéticos; e
XXI - CIS Criticai Security Controls Version 8 que consiste em um conjunto
priorizado de ações para proteger organizações de vetores de ciberataques conhecidos.
CAPÍTULO IV
DOS PRINCÍPIOS
Art. 5º A Posin seguirá os seguintes princípios:
I -legalidade:
a Posin
está sujeita
aos mandamentos
da lei
e sua
elaboração/atualização seguirá rigorosamente as prescrições da legislação pertinente;
II -moralidade: a elaboração da Posin, bem como sua posterior aplicação,
deverá observar os preceitos da boa administração pública, pautando-se pela atuação
ética e nos ideais de honestidade e justiça;
III -impessoalidade: a Posin visará ao interesse público no tratamento das
informações, buscando evitar que estas sejam utilizadas para finalidades particulares ou
para a obtenção de benefícios pessoais;
IV -publicidade: a Posin buscará garantir o amplo acesso do público à
informação, exceto quando o próprio interesse público justificar seu sigilo; e
V -eficiência: a Posin terá como objetivo tornar a atuação da Susep mais rápida
e precisa, por meio do tratamento efetivo das informações.
CAPÍTULO V
DA GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Art. 6º Deverá ser assegurada a manutenção na função de Gestor de
Segurança da Informação de um servidor público civil ocupante de cargo efetivo, ou
militar de
carreira, com
formação ou
capacitação técnica
compatível com
as
atribuições.
Art. 7º Deverá ser assegurada a manutenção da existência do Comitê de
Segurança da Informação, levando em consideração o que consta da Resolução Susep nº
31, de 2023, ou de ato normativo que venha a substituí-la.
Art. 8º Deverá ser instituída uma Equipe de Tratamento e Resposta a
Incidentes em Redes Computacionais - Etir, na forma a ser regulamentada em normativo
próprio, o qual designará suas atribuições e seu escopo de atuação.
CAPÍTULO IV
DAS DIRETRIZES
Seção I
Das Diretrizes gerais
Art. 9º Qualquer informação recebida, produzida ou adquirida, deve ser tratada
como patrimônio da Susep, a ser protegida nos termos desta Política e das demais normas
em vigor, com vistas ao atendimento do interesse público e ao cumprimento da missão da
Autarquia.
Parágrafo único. Em contratos celebrados com pessoa jurídica, o termo de
confidencialidade poderá ser assinado pelo preposto.
Art. 10. Todos os ajustes celebrados pela Susep com prestadores de serviços
em suas instalações deverão conter cláusulas referentes ao cumprimento da Posin, de
suas normas e padrões complementares, bem como à manutenção do sigilo de suas
informações durante e após sua vigência.
Art. 11. Os prestadores de serviços sob contrato com a Susep serão obrigados
a assinar termo de confidencialidade, em obediência ao estabelecido na Posin.
Parágrafo único. Em contratos celebrados com pessoa jurídica, o termo de
confidencialidade poderá ser assinado pelo preposto.
Seção II
Do tratamento da informação
Art. 12. As informações e dados produzidos ou recebidos pela Susep em
decorrência de sua função serão considerados ostensivos, a menos que sua divulgação
possa acarretar, entre outros:
I - danos a consumidores e acionistas das entidades supervisionadas;
II - instabilidade dos mercados supervisionados;
III - frustração de estratégias comerciais das entidades supervisionadas;
IV - desrespeito à propriedade intelectual;
V - prejuízo às atividades de supervisão e fiscalização;
VI - riscos à continuidade operacional da Susep;
VII - desobediência a hipóteses legais de sigilo;
VIII - quebra de contratos ou convênios;
IX - riscos à segurança nacional; e
X - violação da intimidade da vida privada, da honra e da imagem das pessoas
ligadas ou não à Susep.
Art. 13. As informações poderão ser classificadas como reservadas, secretas ou
ultrassecretas em razão do teor de seus elementos intrínsecos e dados que contenham,
conforme definido em legislação específica.
Parágrafo único. Durante todo o ciclo de vida de um dado ou informação
sigilosa ou classificada, sua hospedagem e tratamento observarão medidas especiais de
segurança compatíveis com seu grau de sigilo e em conformidade com a legislação vigente
e normas complementares adotadas pela Susep.
Seção III
Do tratamento de incidentes de segurança cibernética
Art. 14. Nos contratos de serviços relacionados ao provimento, gerenciamento
e suporte da infraestrutura computacional de TI deverá constar cláusula que exija a
existência de estrutura de tratamento de incidentes de segurança cibernética por parte do
prestador.
Parágrafo único. Em relação aos contratos mencionados no caput, cabe ao
fiscal técnico supervisionar o tratamento de incidentes de segurança cibernétíca para o fiel
cumprimento das suas atribuições com o apoio da Etir.
Art. 15. A Etír tem autonomia para tomar ações emergenciais para a resposta
aos incidentes de segurança cibernética no âmbito da Susep.
Art. 16. A Etír deverá manter mecanismos de artículação com o Centro de
Prevenção, Tratamento e Resposta a de Incidentes Cibernéticos do Governo (CTIR Gov) ou
estrutura que o venha a substituir nesta função.
Seção IV
Do processo de gestão de riscos
Art. 17. A gestão de riscos em Segurança da Informação constítui um processo
contínuo de levantamentos, análises, avaliações e planos de tratamento que visem manter
em níveis aceitáveis os riscos de Segurança da Informação a que está sujeita a Susep,
estando sempre alinhada com o planejamento estratégico da Autarquia.
Art. 18. O processo de gestão de riscos de Segurança da Informação será
definido em norma complementar e observará a Política de Gestão de Riscos da Susep.
Seção V
Da gestão de continuidade
Art. 19. A implementação do processo de gestão de contínuidade de negócios
em segurança da informação tem o objetívo de minimizar os impactos decorrentes de
falhas, desastres ou indisponibilidades significatívas sobre as atívidades da Susep nessa
área, além de recuperar perdas de atívos de informação em nível aceitável, por
intermédio de ações de resposta a incidentes e recuperação de desastres.
Art. 20. O processo de gestão de contínuidade de negócios em segurança da
informação deve ser baseado nas estratégias de contínuidade para as atívidades crítícas,
na avaliação dos riscos levantados no processo de gestão de riscos e em diretrizes
institucionais sobre gestão de continuidade de negócio.
Art. 21. Será elaborado e mantído Plano de Contínuidade de Negócios em
Segurança da Informação - PCNSI, baseado em boas prátícas e aprovado pelo CSI, que
deverá ser implementado e testado periodicamente para garantir a continuidade dos
serviços críticos de TI.
Seção VI
Da auditoria e conformidade
Art. 22. A avaliação de conformidade nos aspectos de segurança da informação
consiste em proporcionar adequado grau de confiança a um determinado processo,
mediante o atendimento de requisitos definidos em políticas, procedimentos, normas ou
em regulamentos técnicos aplicáveis.
Art. 23. Deverá ser designado ao menos um servidor efetivo, militar de carreira
ou empregado público, lotado na Susep, como responsável pela avaliação de
conformidade nos aspectos relativos à segurança da informação.
Parágrafo único. A designação a que se refere o caput não poderá recair sobre
membros da equipe de gestão de segurança da informação.

Fechar