Copyright © Dia Oficial 2025 | contato@diaoficial.com

DOU 08/04/2025 - Diário Oficial da União - Brasil 

                            Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152025040800091
91
Nº 67, terça-feira, 8 de abril de 2025
ISSN 1677-7042
Seção 1
Ministério dos Transportes
GABINETE DO MINISTRO
PORTARIA Nº 287, DE 4 DE ABRIL DE 2025
Institui a Política de Segurança da Informação -
POSIN no âmbito do Ministério dos Transportes -
MT, e dá outras providências.
O MINISTRO DE ESTADO DOS TRANSPORTES, no uso das atribuições que lhe
confere o art. 87, parágrafo único, incisos I e II, da Constituição Federal, o Decreto nº
11.360, de 1º de janeiro de 2023, o art. 2º do Decreto nº 12.198, de 24 de setembro de
2024, e considerando o disposto no inciso III do art. 3º do Decreto nº 7.579, de 11 de
outubro de 2011, na Instrução Normativa GSI/PR nº 1, de 27 de maio de 2020, e no
processo nº 50000.015604/2024-12, resolve:
Art. 1º Fica instituída a Política de Segurança da Informação - POSIN no âmbito
do Ministério
dos Transportes,
que dispõe
sobre as
medidas para
assegurar a
disponibilidade, a integridade, a confidencialidade e a autenticidade da informação nos
ambientes convencionais e de tecnologia da informação do MT.
Parágrafo único. Os conceitos e definições utilizados na POSIN se encontram no
Anexo I desta Portaria.
CAPÍTULO I
DAS DISPOSIÇÕES GERAIS
Art. 2º Para os fins do disposto nesta Portaria, conforme o art. 2º do Decreto
nº 9.637, de 26 de dezembro de 2018, a segurança da informação abrange:
I - defesa cibernética;
II - segurança física e a proteção de dados organizacionais; e
III - as ações destinadas a assegurar a disponibilidade, a integridade e a
autenticidade da informação, bem como sua confidencialidade, quando exigível.
CAPÍTULO II
DOS PRINCÍPIOS
Art. 3º A POSIN deverá orientar a promoção de uma cultura organizacional de
uso dos recursos de Tecnologia da Informação e Comunicação - TIC, norteada pelos
princípios 
da
legalidade, 
publicidade,
disponibilidade, 
integridade,
autenticidade,
segurança, privacidade, confidencialidade e ética.
Art. 4º As ações e iniciativas relacionadas com a POSIN deverão também
observar os seguintes critérios:
I - prevalência da soberania nacional;
II - submissão às regras de conformidade legal e normativa dos procedimentos
relacionados à segurança da informação e das comunicações;
III - utilização dos recursos de tecnologia da informação e comunicações
estritamente para seu propósito institucional;
IV - integração aos objetivos
estratégicos, processos de gestão, de
planejamento e de execução do Ministério;
V - proteção de dados pessoais, a proteção da privacidade e acesso à
informação sigilosa limitado a situações de necessidade do usuário, nos termos da
legislação;
VI - intercâmbio científico e
tecnológico relacionado à segurança da
informação, entre os órgãos e as entidades da administração pública federal;
VII - articulação entre as ações de segurança cibernética, de defesa cibernética
e de proteção de dados e ativos da informação;
VIII - cooperação entre os órgãos de investigação e os órgãos e as entidades
públicas no processo de credenciamento de pessoas para acesso às informações
sigilosas;
IX - integração e cooperação entre o poder público, o setor empresarial, a
sociedade e as instituições acadêmicas;
X - cooperação internacional, no campo da segurança da informação;
XI - responsabilidade de todos do MT no tratamento da informação e no
cumprimento das normas de segurança da informação;
XII - ciência por todos agentes públicos e colaboradores do MT das normas de
segurança da informação, para o pleno desempenho de suas atribuições;
XIII - proporcionalidade do custo das ações de segurança da informação não
devendo ser maior do que o valor do ativo da informação a ser protegido, salvo os casos
formalmente analisados e justificados durante o processo de gestão de riscos de segurança
da informação;
XIV - publicidade e transparência no trato das informações, observados os
critérios legais e normativos vigentes aplicáveis ao MT;
XV - celeridade das ações de segurança da informação devendo oferecer
respostas rápidas a incidentes e falhas; e
XVI - clareza das regras de segurança da informação que devem ser precisas,
concisas e de fácil entendimento.
CAPÍTULO III
DAS DIRETRIZES E NORMAS INTERNAS DE SEGURANÇA DA INFORMAÇÃO
Seção I
Diretrizes Gerais
Art. 5º Para cada uma das diretrizes constantes das seções deste capítulo
poderão ser elaboradas normas internas de segurança da informação, com procedimentos
e orientações complementares à presente portaria, podendo ainda disciplinar outros temas
de segurança da informação e comunicações, tais como:
I - modelos de gestão da informação;
II - gerenciamento de riscos;
III - tratamento de incidentes de segurança e incidentes cibernéticos;
IV - gestão de continuidade de serviços;
V - acesso a informações, áreas, instalações e sistemas de informação; e
VI - programas e ações de conscientização e educação em segurança da
informação.
Art. 6º O uso e o compartilhamento de dados, informações e documentos no
âmbito do Ministério dos Transportes, em todo o seu ciclo de vida, visam à continuidade
de seus processos em conformidade com as normas vigentes, obrigações contratuais ou
congêneres, princípios da POSIN e as melhores práticas de segurança da informação.
Parágrafo único. O ciclo de vida a que se refere o caput deste artigo diz
respeito às fases de criação, tratamento, uso, armazenamento, divulgação e descarte da
informação, conforme legislação específica.
Art. 7º Visando alcançar a abrangência definida no art. 3º, toda e qualquer
informação gerada, adquirida, utilizada ou armazenada pelo Ministério dos Transportes é
considerada ativo de informação e faz parte do seu patrimônio.
Seção II
Do Tratamento da Informação
Art. 8º Todo ativo de informação criado, adquirido ou custodiado no âmbito do
Ministério dos Transportes deverá ser protegido contra ameaças, ataques, incidentes e
outras formas de comprometimento à segurança da informação, com o objetivo de
minimizar riscos, sem prejuízo da transparência ao cidadão.
Art. 9º O tratamento de informações classificadas na forma dos arts. 25 a 30 do
Decreto nº 7.724, de 16 de maio de 2012, somente poderá ser realizado por pessoa
devidamente credenciada na forma do Decreto nº 7.845, de 14 de novembro de 2012,
após os devidos procedimentos de classificação pela autoridade competente, na forma do
art. 31 do Decreto nº 7.724, de 2012.
Art. 10. É expressamente proibido o uso dos meios e recursos de tecnologia da
informação disponibilizados pelo Ministério dos Transportes para acesso, guarda ou
encaminhamento de material discriminatório, malicioso, antiético ou ilegal.
Art. 11. As senhas utilizadas em sistemas do Ministério dos Transportes
deverão ser criptografadas para proteção contra acesso indevido ou vazamento.
Art. 12. O tratamento de dados pessoais obedecerá ao disposto na lei nº
13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais - LGPD.
Seção III
Da Segurança Física dos Equipamentos
Art. 13. Os equipamentos e as áreas destinadas ao processamento de
informações deverão ser protegidos contra acesso indevido, danos e interferências não
autorizadas.
Art. 14. A unidade responsável pela segurança organizacional e corporativa do
Ministério dos Transportes deverá implementar perímetros de segurança a fim de garantir
proteção e separação entre ambientes internos e externos.
Art. 15. As áreas seguras serão protegidas por controles apropriados de registro
e autorização de entrada para assegurar que somente pessoas autorizadas tenham
acesso.
Art. 16. As áreas seguras controladas pelo Ministério dos Transportes possuirão
procedimentos adequados de proteção, bem como diretrizes que orientem o trabalho no
seu interior, a ser definidos em norma interna de segurança da informação desta Pasta.
Seção IV
Do Uso de Ativos de Informação
Art. 17. Os ativos da informação, sistemas e bancos de dados do Ministério dos
Transportes deverão ser protegidos contra indisponibilidade, acessos indevidos, ameaças,
ataques, alterações, falhas, perdas, danos, furtos, roubos, interrupções não programadas e
outros incidentes de segurança.
Art. 18. Os ativos de informação deverão ser inventariados e mapeados a fim
de produzir subsídios para a Gestão de Segurança da Informação, Gestão de Riscos de
Segurança da Informação, Gestão de Continuidade de Negócios, bem como para os
procedimentos de avaliação da conformidade, de melhorias contínuas e de auditoria.
Art. 19. O processo de inventário e mapeamento de ativos de informação deve
ser dinâmico, periódico e estruturado para manter a Base de Dados de Ativos de
Informação atualizada para prover informações para o desenvolvimento de ações e planos
de aperfeiçoamento de práticas de Gestão da Segurança da Informação no âmbito do
Ministério dos Transportes.
Art. 20. Os ativos de informação deverão ser disponibilizados pela unidade
organizacional de tecnologia da informação do Ministério dos Transportes, somente para
usuários de informação cadastrados, mediante a utilização de credenciais individuais e
intransferíveis, concedidas conforme solicitação da chefia imediata.
Parágrafo único. Norma interna de segurança da informação disporá sobre:
I - autorização de acesso a sistemas e redes;
II - criação, administração e extinção de contas de usuários;
III - identificação e credenciamento de usuários de informação com acesso a
ativos de informação do Ministério; e
IV - gestão de acessos a áreas e instalações de tecnologia da informação e de
tratamento de informações.
Art. 21. Somente será autorizado o uso de equipamento pessoal em áreas e
sistemas do Ministério após a implementação de soluções de segurança da informação
com padrões que atendam à Política de Segurança da Informação do Ministério dos
Transportes e suas normas e procedimentos complementares em vigor.
Art. 22. Toda a informação que trafega pelos ativos de informação poderá ser
monitorada de acordo com as necessidades de segurança da informação estabelecidas em
norma interna de segurança da informação do Ministério dos Transportes, conforme
diretrizes desta portaria e respeitada a legislação vigente.
Art. 23. Em caso de desligamento ou impedimento de um agente público que
tenha executado atividades no Ministério dos Transportes, sua chefia imediata poderá
requisitar a recuperação de informações armazenadas em ativos de informação que
estejam sob a guarda da instituição, com a finalidade de continuidade das atividades
realizadas pelo agente público no interesse institucional.
Art. 24. Serão estabelecidos processos permanentes de conscientização,
capacitação e sensibilização em segurança da informação, que alcancem todos os agentes
públicos que executem atividades no Ministério dos Transportes, de acordo com suas
competências funcionais.
Seção V
Do Uso do Acesso à Internet
Art. 25. A concessão de acesso à internet em ambiente laboral no Ministério
dos Transportes será disponibilizada como ferramenta de trabalho destinada ao
atendimento das finalidades institucionais do órgão.
Parágrafo único.
Norma interna de
Segurança da
Informação poderá
estabelecer procedimentos específicos para coibir o uso abusivo do acesso à internet no
Ministério dos Transportes, com medidas e orientações aos proprietários e usuários de
informação.
Art. 26. O uso da internet no Ministério dos Transportes será monitorado e os
acessos serão registrados em dispositivo ou sistema computacional que assegure a
possibilidade de rastreio e apuração de responsabilidades em caso de incidentes
cibernéticos, incidentes de segurança e outras violações a esta Política de Segurança da
Informação.
Parágrafo único. Para apuração das quebras de segurança de que trata o caput,
os ativos de informação fornecidos pelo Ministério dos Transportes poderão ser
analisados, a qualquer tempo, pela Equipe de Prevenção e Tratamento e Resposta a
Incidentes Cibernéticos do Ministério.
Art. 27. Os agentes públicos encarregados das ações de comunicação digital e
demais formas de comunicação pública, gestão documental e de ativos de informação do
Ministério dos Transportes que trafeguem pela internet são considerados custodiantes de
informação.
Seção VI
Do Serviço de Backup
Art. 28. Os procedimentos de backup deverão ser fixados por norma interna de
segurança da informação do Ministério dos Transportes.
§ 1º O serviço de backup deverá ser automatizado por sistemas informacionais
próprios, considerando, inclusive, a execução agendada fora do horário de expediente.
§ 2º A solução de backup deverá ser mantida sempre atualizada, considerando
suas diversas características, tais como atualizações de correção, novas versões, ciclo de
vida, garantia, melhorias, entre outros.
§ 3º Na inviabilidade de armazenamento de backup em nuvem, as mídias de
backups deverão ser armazenadas em instalações seguras, objetivando manter a sua
segurança e integridade.
§ 4º A execução de rotinas de backup e de recuperação deverá ser rigidamente
controlada, documentada e auditada, conforme norma interna de segurança da informação
do Ministério dos Transportes.
Seção VII
Da Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação
Art. 29. A aquisição, manutenção e desenvolvimento de sistemas de informação
deverão observar os padrões, critérios e controles de segurança estabelecidos nesta
portaria, sem prejuízo das normas estabelecidas pelo órgão central do Sistema de
Administração dos Recursos de Tecnologia da Informação - SISP - de que trata o Decreto
nº 7.579, de 11 de outubro de 2011.
Art. 30. Os editais de licitação e contratos de solução de tecnologia da
informação com o Ministério dos Transportes deverão conter cláusula específica sobre:
I - a obrigatoriedade de atendimento a Política de Segurança da Informação do
Ministério dos Transportes e
II - a exigência de assinatura de termo de responsabilidade e termo de
confidencialidade, na forma do Anexo II e III desta Portaria.
Art. 31. Sem prejuízo de outras atividades previstas no art. 3º do Decreto nº
9.507, de 21 de setembro de 2018, não são passíveis de contratação e execução indireta
as atividades de:
I - gestão de segurança da informação e
II - gestão de riscos em segurança da informação.
Seção VII
Do Uso de Computação em Nuvem
Art. 32. A implementação ou contratação de computação em nuvem deverá
estar em conformidade com as diretrizes desta POSIN e com a legislação sobre contratação
vigente na Administração Pública Federal.

Fechar