Copyright © Dia Oficial 2025 | contato@diaoficial.com

DOU 08/04/2025 - Diário Oficial da União - Brasil 

                            Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152025040800092
92
Nº 67, terça-feira, 8 de abril de 2025
ISSN 1677-7042
Seção 1
§ 1º O uso de recursos de computação em nuvem para suprir demandas de
transferência e armazenamento de documentos, processamento de dados, aplicações,
sistemas e demais tecnologias da informação será regido por norma interna de segurança
da informação que deverá ser instituída pela unidade responsável pelos ativos de
tecnologia e atenderá às determinações desta POSIN.
§ 2º Fica vedado o uso de recurso de computação em nuvem não
disponibilizado pelo Ministério dos Transportes para o armazenamento de ativo de
informação institucional.
Art. 33. O Uso da computação em nuvem deverá promover:
I - melhorias no ambiente computacional do Ministério dos Transportes;
II - facilidade e agilidade na implementação;
III - diminuição de vulnerabilidades pela atualização constante de aplicações
defasadas;
IV - possibilidade de integração à outras soluções;
V - melhoria da gestão da segurança da informação; e
VI - redução de custos.
Seção IX
Do Uso de Dispositivos Móveis
Art. 34. O uso de dispositivos móveis institucionais e demais dispositivos
móveis para acesso aos ativos de informação do Ministério dos Transportes, deverá ser
controlado com a implementação de mecanismos de autenticação, autorização e registro
de acesso, a serem previstos detalhadamente em norma interna de segurança da
informação.
Seção X
Da Gestão de Vulnerabilidades Técnicas
Art. 35. A gestão de vulnerabilidades técnicas será implementada com vistas a
prevenir a exploração de vulnerabilidades na rede corporativa do Ministério dos
Transportes, e será implementada por ações sistemáticas de identificação, classificação e
tratamento das vulnerabilidades, podendo ser regulamentada por norma interna de
segurança da informação.
Art. 36. O processo de gestão de vulnerabilidades técnicas disponibilizará à alta
administração e ao Comitê de Governança Digital e Segurança da Informação, sempre que
solicitado, as informações sobre vulnerabilidades referentes aos ativos de informação e de
sistemas informatizados do ministério, de forma a permitir a eficaz detecção e remediação
de vulnerabilidades no menor tempo possível.
Art. 37. O inventário completo e atualizado dos ativos de informação é pré-
requisito para o efetivo processo de gestão de vulnerabilidades técnicas e deverá
identificar, no mínimo, os ativos de hardware, software, serviços em nuvem e o respectivo
responsável pela sua gestão.
Seção XI
Da Gestão de Continuidade de Serviços em Segurança da Informação
Art. 38. O Ministério dos Transportes deverá manter processo de Gestão de
Continuidade de Serviços em Segurança da Informação que forneça estrutura para
assegurar a continuidade das atividades do ministério em casos de ameaças, ataques,
incidentes de segurança e, em caso de interrupção, assegurar a sua retomada no menor
tempo possível.
Art. 39. Os ativos de informação de propriedade ou custodiados pelo Ministério
dos Transportes, quando armazenados em meio eletrônico, deverão ser providos de cópia
de segurança atualizada e guardada em local seguro, de forma a garantir a continuidade
das atividades do órgão.
Art. 40. Deverá ser elaborado um Plano de Continuidade de Serviços em
Segurança da Informação que contenha os procedimentos e as informações necessárias
para que o Ministério dos Transportes mantenha seus ativos de informação e a
continuidade
de
suas atividades
em
local
alternativo,
em
caso de
incidente
de
segurança.
Parágrafo único. O Plano de Continuidade de Serviços em Segurança da
Informação será elaborado pelo Gestor de Segurança da Informação e deverá ser testado
e revisado periodicamente, de forma a se manter atualizado para responder às ameaças
identificadas.
Seção XII
Da Auditoria e Conformidade
Art. 41. O Ministério dos Transportes deverá criar e manter registros e
procedimentos, como trilhas de auditoria, que possibilitem o rastreamento, o
acompanhamento, o controle e a verificação de acessos aos seus sistemas corporativos e
à sua rede interna.
Art. 42. Deverá ser realizada, com periodicidade mínima anual, a verificação de
conformidade das práticas de Segurança da Informação aplicadas no Ministério dos
Transportes com esta POSIN, bem como com as normas elaboradas pelo Gabinete de
Segurança Institucional da Presidência da República, na forma do art. 12 do Decreto nº
9.637, de 2018.
§ 1º A verificação de conformidade também deverá ser realizada nos contratos,
convênios, acordos de cooperação e outros instrumentos de parceria firmados pelo
Ministério dos Transportes.
§ 2º A verificação de conformidade poderá combinar ampla variedade de
técnicas, tais como análise de documentos, análise de registros (logs), análise de código-
fonte, entrevistas, simulação de intrusão e testes de invasão.
§ 3º Os resultados de cada ação de verificação de conformidade serão
documentados em Relatório de Avaliação de Conformidade a ser elaborado pelo Gestor de
Segurança da Informação.
Art. 43. Os procedimentos e as metodologias utilizados na auditoria e
conformidade serão definidos em norma interna de segurança da informação do Ministério
dos Transportes.
Art. 44. Todo e qualquer ativo de informação que assim o permita deve ser
configurado para armazenar registros históricos de eventos (Logs) em formato que permita
a completa identificação dos fluxos de dados e das operações de seus utilizadores ou
administradores.
§ 1º Os registros devem ser armazenados, sempre que possível, pelo período
mínimo de seis meses, sem prejuízo de outros prazos previstos em normativos
específicos.
§ 2º Os ativos de informação devem ser configurados de forma a armazenar
seus registros de auditoria não apenas localmente, como também remotamente, por meio
de tecnologia aplicável.
Seção XIII
Do Controle de Acesso
Art. 45. O controle de acesso à informação tem por objetivo garantir que o
acesso físico e lógico à informação seja franqueado exclusivamente a pessoas autorizadas,
com base nos requisitos de negócio e de segurança da informação.
§ 1º A informação é um patrimônio do órgão responsável pela sua produção e
o seu acesso não garante direito sobre ela, assim como não confere autoridade para
liberar o acesso a outros.
§ 2º O acesso à informação é regulamentado por normas específicas e a
confidencialidade dessa informação deve ser mantida durante todo o processo de uso,
podendo ter níveis diferentes ao longo da sua vida útil.
§ 3º As credenciais de acesso (login e senha) são pessoais e intransferíveis e os
recursos computacionais deverão ser utilizados em conformidade com regulamento
especifico.
§ 4º Todos os controles de acesso deverão estar de acordo com a Lei Geral de
Proteção de Dados Pessoais - LGPD, Lei nº 13.709, de 14 de agosto de 2018.
§ 5º Esta política deve estar alinhada com o Programa de Governança em
Privacidade a ser instituída no âmbito do Ministério, de acordo com o art. 50 da Lei nº
13.709, de 14 de agosto de 2018, que será definido pelo Ministério.
CAPÍTULO IV
DAS COMPETÊNCIAS
Art. 46. A estrutura de Gestão de Segurança da Informação no Ministério dos
Transportes será composta pelo Gestor de Segurança da Informação e pelo Comitê de
Governança Digital e Segurança da Informação.
Seção I
Do Comitê de Governança Digital e Segurança da informação
Art. 47. Ao Comitê de Governança Digital e Segurança da Informação, instituído
na forma do art. 15, inciso IV, do Decreto nº 9.637, de 2018, e do art. 2º do Decreto nº
10.332, de 28 de abril de 2020, compete:
I - supervisionar a implementação das ações de segurança da informação e de
governo digital no âmbito do ministério;
II - propor normas internas de segurança da informação, bem como alterações
na POSIN;
III - deliberar sobre a implementação da Estratégia de Governo Digital e seus
instrumentos no âmbito do ministério e
IV - aprovar o Plano de Transformação Digital, o Plano Diretor de Tecnologia da
Informação e Comunicação e o Plano de Dados Abertos do ministério.
§ 1º Para o cumprimento de suas atribuições, o comitê poderá constituir
grupos de trabalho, por prazo determinado, para tratar de temas específicos, mediante
designação de seu coordenador.
§ 2º O Comitê de Governança Digital e Segurança da Informação será composto
por membros na seguinte composição:
I - O Subsecretário de Gestão Estratégica, Tecnologia e Inovação, representante
da Secretaria-Executiva e que o coordenará;
II - O Coordenador-Geral de Governança e Controladoria de TIC, representante
da Subsecretaria de Gestão Estratégica, Tecnologia e Inovação;
III - Um representante da Secretaria Nacional de Transporte Rodoviário;
IV - Um representante da Secretaria Nacional de Transporte Ferroviário;
V - Um representante da Secretaria Nacional de Trânsito;
VI - O Ouvidor, encarregado do tratamentos de dados pessoais de que trata a Lei
nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais - LGPD); e
VII - O Coordenador-Geral de Entrega de Serviços de Tecnologia, como Gestor
de Segurança da Informação.
§ 3º Os substitutos dos membros integrantes do Comitê de Governança Digital
e Segurança da Informação deverão substituir os titulares em seus afastamentos e
impedimentos legais, sendo eles:
I - O Coordenador-Geral de Governança e Controladoria de TIC, representante
da Secretaria Executiva, substituto;
II - O Coordenador-Geral de
Inovação e Transformação de Serviços,
representante da Subsecretaria de Gestão Estratégica, Tecnologia e Inovação.
III - O substituto legal do representante da Secretaria Nacional de Transporte
Rodoviário;
IV - O substituto legal do representante da Secretaria Nacional de Transporte
Fe r r o v i á r i o ;
V - O substituto legal do representante da Secretaria Nacional de Trânsito;
VI - O substituto legal do Ouvidor, encarregado do tratamento de dados
pessoais substituto; e
VII - O Chefe da Divisão de Operações, na qualidade de Gestor de Segurança da
Informação substituto.
§ 4º O comitê reunir-se-á em reuniões ordinárias trimestrais ou em reuniões
extraordinárias convocadas por seu coordenador, com antecedência mínima de dois dias
úteis.
§ 5º As deliberações do comitê serão tomadas por maioria absoluta e lavradas
em ata assinada por todos os presentes, cabendo ao seu coordenador expedir suas
resoluções.
Seção II
Do Gestor de Segurança da informação
Art. 48. O Gestor de Segurança da Informação será servidor ocupante de cargo
efetivo, com formação ou capacitação técnica na área de segurança da informação,
competindo-lhe:
I - planejar, coordenar, supervisionar, executar e controlar a execução das
atividades de tecnologia da informação em conformidade com as diretrizes da POSIN;
II - definir estratégias para a implementação da POSIN e suas normas internas
de segurança da informação;
III - supervisionar e analisar a efetividade dos processos, procedimentos,
sistemas e dispositivos de segurança da informação;
IV - acompanhar as investigações e as avaliações dos danos decorrentes de
quebras de segurança e adotar as medidas administrativas necessárias à aplicação de
ações corretivas;
V - encaminhar às autoridades competentes para aplicação de penalidades os
fatos apurados em incidentes de segurança ou incidentes cibernéticos que constituam
violações administrativas, civis ou penais à POSIN;
VI - realizar a gestão de risco e demais atividades de gestão de segurança da
informação;
VII - verificar se os procedimentos de segurança da informação estão sendo
aplicados em conformidade com as legislações vigentes e normas internas de segurança da
informação;
VIII - promover, com apoio da alta administração, a ampla divulgação da POSIN,
das normas internas de segurança da informação e de suas atualizações, de forma ampla
e acessível, a todos os usuários de informação e aos prestadores de serviço;
IX - propor recursos necessários às ações de segurança da informação e das
comunicações;
X - acompanhar as atividades da Equipe de Prevenção, Tratamento e Resposta
a Incidentes Cibernéticos;
XI - promover e acompanhar estudos de novas tecnologias quanto a possíveis
impactos na segurança da informação e comunicações;
XII - propor normas internas de segurança da informação e comunicações;
XIII - promover a melhoria contínua dos processos de gestão de segurança da
informação e propor ajustes corretivos a serem incluídos nas revisões desta POSIN; e
XIV - propor conteúdo sobre segurança da informação, com vistas a facilitar a
capacitação e a instrução dos servidores e colaboradores para a utilização de sistemas
corporativos e acesso a informações nos níveis físico e lógico, em conformidade com as
diretrizes da POSIN.
Seção III
Da Equipe de Prevenção, Tratamento e Resposta a Incidentes de Segurança
Art. 49. A Equipe de Prevenção, Tratamento e Resposta a Incidentes
Cibernéticos - ETIR será composta preferencialmente por servidores públicos ocupantes de
cargo público efetivo e deverá contar com pessoal com capacitação técnica compatível e
capaz de apoiar as atividades de prevenção, de tratamento e de resposta a incidentes
cibernéticos.
Art. 50. A Equipe de Prevenção, Tratamento e Resposta a Incidentes
Cibernéticos - ETIR, instituída por Portaria deste Ministério, ficará responsável pela
divulgação de práticas e recomendações de Segurança da Informação e pela avaliação das
condições de segurança de rede por meio de verificações de conformidade, com o objetivo
de evitar que ocorram incidentes de segurança.
Parágrafo único. A ETIR do Ministério dos Transportes integrará a Rede Federal
de Gestão de Incidentes Cibernéticos, nos termos do Decreto nº 9.637, de 26 de dezembro
de 2018, e sua atuação será orientada por normas e procedimentos técnicos estabelecidos
pelo Centro de Prevenção e Tratamento e Resposta a Incidentes cibernéticos de governo,
sem prejuízo das demais metodologias e procedimentos aprovados pelo Comitê de
Governança Digital e Segurança da Informação do Ministério dos Transportes.
Art. 51. É obrigatória a publicação de documento de criação da ETIR, alinhado
à presente POSIN e aos normativos, padrões e procedimentos técnicos exarados pelo CTIR
Gov, e que deverá prever, entre outras, as seguintes atribuições:
I - monitorar o ambiente e recursos de TIC do Ministério, a fim de identificar
possíveis incidentes de segurança da informação;
II - realizar a investigação do incidente de segurança da informação, propondo
medidas de contenção;
III - assessorar o Gestor de Segurança da Informação - CGDSI na análise e
tomada de decisões a respeito de situações resultantes de incidentes de segurança da
informação;

Fechar