DOU 26/02/2025 - Diário Oficial da União - Brasil
Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152025022600023
23
Nº 40, quarta-feira, 26 de fevereiro de 2025
ISSN 1677-7042
Seção 1
§ 2º O acesso do usuário ao serviço de correio eletrônico do MDS poderá ser
suspenso em caso de comprovação de utilização inadequada, sem prejuízo das ações
disciplinares e legais cabíveis.
Seção I
Do Objetivo
Art. 6º Esta norma complementar à Política de Segurança da Informação do
Ministério tem por objetivos:
I - disciplinar a utilização do correio eletrônico (e-mail) institucional;
II -
estabelecer diretrizes
básicas a serem
seguidas pelos
usuários e
administradores dessa ferramenta, no âmbito do MDS, com o intuito de garantir a
exclusividade de sua destinação às finalidades institucionais; e
III - preservar a disponibilidade, confidencialidade, integridade e autenticidade
das informações e dos dados pessoais, conforme a legislação vigente.
Seção II
Dos Conceitos e Definições
Art. 7º Os termos e as definições utilizados nesta norma complementar
seguem o Glossário de Segurança da Informação da Secretaria de Segurança da
Informação e Cibernética do Gabinete de Segurança Institucional da Presidência da
República - SSIC/GSI/PR.
CAPÍTULO II
DO FORNECIMENTO E MANUTENÇÃO DAS CONTAS DE CORREIO ELETRÔNICO
Art. 8º Serão fornecidos os seguintes tipos de contas de correio eletrônico:
I - contas de usuário individual: para pessoa física, servidor público, agente
público, terceiro, desde que devidamente autorizado e credenciado para utilizar o serviço
de correio eletrônico institucional;
II - contas de usuário institucional: para grupos de usuários e/ou unidades
administrativas devidamente autorizados e credenciados para utilizar o serviço de correio
eletrônico institucional; e
III - conta de usuário externo/temporário: para usuários temporários, que
necessitam de acesso à rede deste Ministério, mas não fazem parte do quadro de
colaboradores do MDS, sendo o acesso ao correio eletrônico concedido apenas se um
servidor formalizar a solicitação, fornecendo uma justificativa adequada e especificando o
prazo de uso da conta.
Art. 9º Para solicitação de um endereço de correio eletrônico, o servidor
deverá entrar em contato com sua chefia imediata, que formalizará a demanda junto à
área competente, conforme disciplinado pelo MDS.
§ 1º A criação ou não de contas de correio eletrônico para estagiários será
disciplinada internamente, considerando as necessidades do Ministério.
§ 2º As contas criadas para usuários individuais são de responsabilidade do
próprio usuário.
§ 3º Uma conta de usuário institucional criada para atender um grupo de
usuários ou uma unidade administrativa será de responsabilidade de um único titular.
§ 4º Em caso de alteração de cargo ou função do usuário, a conta de correio
eletrônico será revisada para refletir a nova situação.
§ 5º As contas de usuário institucional criadas para atender uma unidade
administrativa deverão ter como nome de usuário a sigla da unidade administrativa,
conforme definida no Sistema de Organização e Inovação Institucional do Governo Federal
-
SIORG
(<https://siorg.planejamento.gov.br/siorg-
cidadaowebapp/pages/listar_orgaos_estruturas/listar_orgaos_estruturas.jsf >).
§ 6º Caso haja necessidade de criação de conta de usuário institucional que
não seja para atender unidade administrativa, no caso de grupo de trabalho ou equipe de
projeto, por exemplo, o solicitante deverá prever domínio próprio para esta finalidade.
Art. 10. A criação e manutenção das contas de correio eletrônico devem seguir
os seguintes procedimentos:
I - a criação de contas deve ser aprovada por unidade da Subsecretaria de
Assuntos Administrativos - SAA e registrada em sistema interno de controle;
II - o usuário é responsável por gerenciar o espaço disponível em suas caixas
de entrada e garantir que não excedam o limite estabelecido;
III - a manutenção de contas é de responsabilidade da Subsecretaria de
Tecnologia da Informação - STI, que deverá assegurar a atualização e a correção das
informações associadas às contas;
IV - qualquer alteração nas contas, como a mudança de cargo ou o
desligamento, deverá ser informada à STI para as devidas providências; e
V - contas inativas por mais de noventa dias serão bloqueadas e excluídas após
trinta dias do bloqueio, salvo em caso de justificativa válida pelo usuário.
Art. 11. As listas de distribuição serão criadas sob demanda, sendo compostas
somente de endereços de usuários que tenham autorizado a sua inclusão na lista.
§ 1º O uso de de listas de distribuição será somente interno.
§ 2º As listas de distribuição deverão ter como padrão o nome de usuário a
sigla da unidade administrativa (ex.:
sti@mds.gov.br), conforme definida no SIORG (<https://siorg.planejamento.gov.br/siorg-
cidadaowebapp/pages/listar_orgaos_estruturas/listar_orgaos_estruturas.jsf >).
§ 3º Cada lista de distribuição deve ter um único responsável.
CAPÍTULO III
DA SEGURANÇA E MONITORAMENTO
Art. 12. A segurança do serviço de correio eletrônico deve ser garantida
mediante:
I - a adoção de medidas técnicas e administrativas adequadas para proteção
contra acesso não autorizado e vazamentos de dados;
II - a implementação de políticas de senha, que incluem a obrigatoriedade de
senhas complexas e sua troca periódica; e
III - o monitoramento contínuo do serviço para detectar e prevenir acessos
não autorizados e outros incidentes de segurança.
Art. 13. O monitoramento do serviço de correio eletrônico deve observar as
seguintes diretrizes:
I - deve ser realizado com o propósito de garantir a segurança e a
conformidade com as políticas institucionais;
II - qualquer interceptação de mensagens deve ser realizada conforme a
legislação e mediante autorização específica; e
III - o monitoramento deve respeitar a privacidade dos usuários, limitando-se
às finalidades para as quais foi autorizado.
Art. 14. A ETIR será responsável por:
I - investigar incidentes de segurança relacionados ao correio eletrônico;
II - implementar ações corretivas
e preventivas para mitigar riscos
identificados; e
III - fornecer suporte e orientações sobre segurança da informação.
CAPÍTULO IV
DA EXCLUSÃO DA CONTA DE CORREIO ELETRÔNICO
Art. 15. A exclusão de contas de correio eletrônico ocorrerá nas seguintes
situações:
I - a pedido do usuário ou por determinação da chefia imediata, quando o
usuário não estiver mais vinculado ao MDS;
II - em casos de desligamento, afastamento ou término de vínculo com o
Ministério, a unidade administrativa responsável deve informar à STI, para que as
providências necessárias sejam tomadas; e
III - contas que não forem usadas por mais de noventa dias serão consideradas
para exclusão, salvo justificativa apresentada pelo usuário.
Parágrafo
único.
Cabe
à
unidade
administrativa
da
SAA
informar
periodicamente à STI sobre exoneração de servidores e término de contratos.
CAPÍTULO V
ESTRUTURA DAS CAIXAS POSTAIS
Art. 16. Quanto ao uso prático do serviço de e-mail:
I - o campo "Para:" deve conter apenas os endereços eletrônicos dos
destinatários dos quais se espera alguma ação sobre o assunto do e-mail;
II - o campo "Cc:" deve conter apenas os endereços eletrônicos dos
destinatários que necessitem ser informados sobre o assunto;
III - o campo "Cco:" pode ser usado quando há a necessidade de enviar
mensagens para vários destinatários de tal maneira que eles não conheçam uns aos
outros;
IV - o campo "Assunto": deve ser preenchido para facilitar o entendimento da
mensagem;
V - o envio de mensagens para um número igual ou superior a 25
destinatários
deve ser
efetuado por
meio
de listas
de distribuição
previamente
cadastradas;
VI - as mensagens de e-mail não podem ultrapassar o tamanho máximo de 150 MB.
Seção I
Do correio eletrônico individual
Art. 17. É permitida a utilização da caixa postal individual para o recebimento
de informativos produzidos por instituições, órgãos públicos, entidades de classe e sites
de informação sobre assuntos de interesse do órgão, desde que solicitados pelo
usuário.
Seção II
Do correio eletrônico institucional
Art. 18. O gestor ou chefe da unidade administrativa terá acesso à caixa postal
de sua respectiva unidade administrativa, além de designar outros servidores como
usuários responsáveis.
Art. 19. O usuário responsável pela caixa postal da unidade designará usuários
secundários, a fim de auxiliá-lo na administração das correspondências ou substituí-lo em
sua ausência.
CAPÍTULO VI
DOS DEVERES E DAS RESPONSABILIDADES
Art. 20. São deveres dos usuários do MDS:
I - manter em sigilo sua senha de acesso ao correio eletrônico institucional,
que deverá ser de uso pessoal e intransferível, e substituída em caso de suspeita de
violação;
II - trocar a senha de correio eletrônico periodicamente, recomendado o prazo
entre um e três meses ou conforme solicitado automaticamente pelo sistema;
III - bloquear o computador toda vez que se ausentar, com exigência de senha
para desbloqueio, evitando acesso indevido;
IV - efetuar a manutenção de sua caixa postal, evitando ultrapassar o limite de
armazenamento e garantindo o seu funcionamento contínuo; e
V - notificar o administrador de contas de e-mail quando ocorrerem alterações
que venham a afetar o cadastro do usuário de correio eletrônico.
Art. 21. São deveres de quem utiliza conta de usuário institucional (conta que
viabiliza o acesso a mais de uma pessoa credenciada):
I - utilizar o serviço exclusivamente para troca de mensagens que sejam de
interesse institucional ou do grupo;
II - não permitir acesso de terceiros (pessoas não autorizadas) à conta de
usuário institucional; e
III - guardar sigilo funcional sobre as informações contidas nos respectivos
grupos.
Parágrafo único. Os usuários das contas de correio eletrônico institucional que
infringirem as disposições desta Portaria estarão sujeitos às sanções previstas em lei e nos
atos normativos que regulamentam a matéria.
Art. 22. São deveres do administrador das contas de correio eletrônico:
I - disponibilizar a utilização do correio eletrônico institucional aos agentes do
MDS, reservando-se o direito de, a seu critério, fixar limites quanto ao tamanho das caixas
postais, volume total de mensagens enviadas, quantidade de mensagens armazenadas nos
servidores de e-mail, número de destinatários e tamanho de cada mensagem enviada;
II - informar tempestivamente aos usuários sobre interrupções previstas para o
serviço de correio eletrônico institucional;
III - adotar e administrar políticas, melhores práticas e procedimentos relativos
aos serviços de correio eletrônico institucional, zelando pelo cumprimento de leis e
normas aplicáveis;
IV - verificar periodicamente o desempenho, a disponibilidade e a integridade
do sistema de correio eletrônico institucional;
V - estabelecer procedimentos e rotinas de manutenção de contas de e-mail
institucional;
VI - controlar o limite de armazenamento da correio eletrônico e garantir seu
funcionamento contínuo; e
VII - verificar e controlar periodicamente os usuários autorizados a ter acesso
ao correio eletrônico institucional.
§1º A equipe da STI responsável pelo serviço de correio eletrônico institucional
deve utilizar os recursos necessários para o processo de registro de eventos relevantes
(guarda de log) e os mecanismos adequados para garantir segurança, sigilo, inviolabilidade
e individualidade das mensagens, logins, senhas e demais conteúdos armazenados no
servidor de e-mail.
§2º Mensagens cujos conteúdos não sejam compatíveis aos interesses ou que
possam trazer riscos aos ativos de informação poderão ser bloqueadas pelos serviços de
proteção automatizados.
Art. 23. São atribuições da equipe de Infraestrutura da STI:
I - definir as ferramentas autorizadas para uso do correio eletrônico;
II - estabelecer o tamanho máximo de mensagens e anexos que podem ser
recebidos ou enviados pelos usuários; e
III - estabelecer o tamanho das cotas de tamanho das caixas de e-mail.
Parágrafo único. Somente poderão ser utilizadas ferramentas homologadas
pela STI para acesso ao correio eletrônico do MDS.
Art. 24. Apenas o titular e seu substituto da unidade administrativa tem a
autorização para:
I - criar, excluir ou desativar uma lista ou grupo de distribuição de e-mails ou
caixa de e-mail corporativo; e
II - solicitar a inclusão ou remoção de membros nas listas e grupos de
distribuição de e-mail ou caixa de e-mail corporativo.
Art. 25. Recomenda-se que a infraestrutura de serviços de e-mail possua
recursos
para
alta disponibilidade
de
operação,
de
acordo com
as
necessidades
estabelecidas pelo MDS.
Art.
26. A
recepção
de mensagens
de
correio
eletrônico deverá
ser
acompanhada de procedimentos adequados de segurança da informação.
Art. 27. A STI deverá garantir a verificação da existência de vírus ou outro
código malicioso no envio e recebimento de mensagens.
Art. 28. Devem ser adotadas práticas de arquivamento e retenção de e-mail,
e observadas eventuais exigências por períodos de guarda decorrentes de requisitos legais
e contratuais.
Art. 29. Todos os usuários e administradores deverão observar a Política de
Segurança da Informação - POSIN do MDS, no que couber, em relação ao uso do correio
eletrônico.
CAPÍTULO VII
DOS PROCEDIMENTOS DE SEGURANÇA PARA TRATAMENTO DE MENSAGENS
R EC E B I DA S
Art. 30. Os seguintes procedimentos devem ser observados pelos usuários
quando do recebimento de mensagens eletrônicas:
I - não clicar em links que porventura possam aparecer no conteúdo do e-mail
e se o objetivo for o de acessar a página do link, deve-se digitar o endereço diretamente
no navegador;
II - não abrir arquivos ou executar programas anexados aos e-mails, sem antes
verificá-los com um antivírus;
III - não responder ou acreditar em correntes, prêmios, promoções ou
cadastros desatualizados, bem como a comunicações supostamente enviadas por bancos,
serviços de proteção ao crédito, pela Secretaria da Receita Federal do Brasil, dentre
outros;
IV - desconfiar sempre de arquivos anexados à mensagem, mesmo que tenham
sido enviados por pessoas ou instituições conhecidas, uma vez que o endereço do
remetente pode ter sido forjado e o arquivo anexo pode conter código malicioso
(malware);
Fechar