DOU 08/04/2025 - Diário Oficial da União - Brasil
Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152025040800093
93
Nº 67, terça-feira, 8 de abril de 2025
ISSN 1677-7042
Seção 1
IV - realizar a análise do incidente de segurança da informação, de forma a
propor medidas para eliminar ou solucionar problemas que causaram o incidente;
V - recolher e preservar as evidências para subsidiar a forense digital;
VI - compor a rede de equipes formada pelos órgãos e entidades da
administração pública federal, coordenada pelo Centro de Tratamento de Incidentes de
Redes do Governo do Gabinete de Segurança Institucional da Presidência da República.
Art. 52.
Os incidentes
de segurança
da informação
devem ser,
em
conformidade com a Política de Respostas a Incidentes de Segurança da Informação,
identificados, analisados, comunicados e tratados, em tempo hábil, de forma a impedir que
evento adverso possa interferir na perfeita execução das atividades desenvolvidas pelo
Ministério.
Seção IV
Da Alta administração e dos gestores
Art. 53. A alta administração deste Ministério é responsável por prover a
orientação e o apoio necessários às ações de segurança da informação, de acordo com os
objetivos estratégicos e com as leis e regulamentos pertinentes.
Art. 54. Compete à alta administração a governança da segurança da
informação, de acordo com as previstas no art. 17, do Decreto nº 9.637, de 26 de
dezembro de 2018, alterado pelo Decreto nº 10.641, de 2 de março de 2021.
Art. 55. É de responsabilidade dos demais gestores zelar pelo cumprimento das
diretrizes desta Política no âmbito de suas áreas de atuação.
Art. 56. Os servidores, os colaboradores, os consultores externos, os estagiários
e os prestadores de serviço são responsáveis por observar o disposto nesta Política e
comunicar os incidentes que afetam a segurança dos ativos de informação à Equipe de
Prevenção, Tratamento e Resposta à Incidentes de Segurança.
CAPÍTULO V
DAS RESPONSABILIDADES
Seção I
Do proprietário da Informação
Art. 57. O proprietário de informação é o responsável primário pela sua
integridade,
autenticidade,
disponibilidade
e,
quando
aplicável,
por
sua
confidencialidade.
Art. 58. Ao proprietário de informação caberá:
I - comunicar ao Gestor de Segurança da Informação acerca do ingresso, da
alteração de lotação ou localização, e do desligamento de servidor, estagiário, prestador
de serviço ou colaborador em sua unidade organizacional; e
II - colher a assinatura do Termo de Responsabilidade disponível no Anexo II e
do Termo de Confidencialidade disponível no Anexo III dos usuários de informação em sua
unidade organizacional.
Seção II
Das Responsabilidades do Usuário de Informação
Art. 59. Ao Usuário de Informação caberá:
I - acessar a rede de dados do Ministério dos Transportes somente após tomar
ciência desta POSIN e das normas internas de Segurança da Informação e assinar o termo
do Anexo II ou III que lhe for cabível;
II - manter sigilo e trocar periodicamente a senha pessoal de acesso aos
sistemas do ministério;
III - não usar a identificação de acesso e senha de terceiros;
IV - portar crachá de identificação de maneira visível ou uniforme, para os
cargos que o exigirem, quando dentro das instalações do Ministério dos Transportes;
V - zelar pelos equipamentos e ativos de informação disponibilizados pelo
ministério, os quais deverão ser preservados como patrimônio público;
VI - utilizar as informações digitais disponibilizadas e os sistemas e produtos
computacionais de propriedade ou direito de uso do Ministério dos Transportes para o
interesse do serviço;
VII - preservar o conteúdo das informações sigilosas a que tiver acesso, sem
divulgá-las para pessoas não autorizadas ou que não tenham necessidade de conhecê-las;
VIII - não tentar obter acesso à informação cujo grau de sigilo não seja
compatível com a sua Credencial de Segurança ou cujo teor não tenha autorização ou
necessidade de conhecer;
IX - não utilizar o ambiente computacional do Ministério dos Transportes para
acessar, transmitir, copiar ou reter conteúdo ou arquivos com textos, fotos, filmes ou
quaisquer outros registros que estejam em desacordo com a legislação vigente e a LGPD;
X - não transferir qualquer tipo de arquivo que pertença ao Ministério dos
Transportes para outro local, seja por meio magnético ou não, exceto no interesse do
serviço e mediante autorização da autoridade competente;
XI - estar ciente de que o processamento, o trâmite e o armazenamento de
arquivos que não sejam de interesse do serviço não serão permitidos na rede
computacional do Ministério dos Transportes;
XII - preservar o sigilo das informações previamente classificadas a que
eventualmente tenha acesso e abster-se de ter acesso àquelas para as quais não tenha a
credencial de segurança compatível com o grau de sigilo;
XIII - estar ciente de que toda informação digital armazenada, processada e
transmitida no ambiente computacional do Ministério dos Transportes poderá ser
auditada;
XIV - estar ciente de que o e-mail institucional é de uso prioritário para o
interesse do serviço, devendo ser evitado o seu uso para fins pessoais;
XV - informar prontamente ao proprietário de informação a que esteja
diretamente subordinado qualquer fato em desacordo com a POSIN de que tenha ciência,
bem como qualquer informação de cuja veracidade suspeite; e
XVI - no caso de exoneração, demissão, licença, término de prestação de
serviço ou qualquer tipo de afastamento, preservar o sigilo das informações e documentos
sigilosos a que eventualmente teve acesso.
Art. 60. O usuário de informação será responsável por eventuais prejuízos
causados ao Ministério devido ao descumprimento das regras estabelecidas na POSIN e
demais normas internas de segurança da informação, conforme a legislação vigente.
Seção III
Das Responsabilidades do Custodiante da Informação
Art. 61. Ao Custodiante da Informação caberá:
I - cumprir e zelar pela observância integral das diretrizes da POSIN e demais
normas e procedimentos decorrentes;
II - zelar pela disponibilidade, integridade e autenticidade das informações e
recursos em qualquer suporte sob sua custódia, bem como sua confidencialidade, quando
cabível;
III - assinar o termo de responsabilidade de que trata o Anexo II desta
portaria;
IV - proteger as informações contra acesso, modificação, destruição ou
divulgação não autorizados;
V - preservar o sigilo das informações previamente classificadas a que
eventualmente tenha acesso e abster-se de ter acesso àquelas para as quais não tenha a
credencial de segurança compatível com o grau de sigilo;
VI - adotar as medidas de proteção necessárias para minimizar ou eliminar os
riscos a que estão sujeitos os ativos de informação sob sua custódia; e
VII - comunicar imediatamente ao Proprietário da Informação e ao Gestor de
Segurança da Informação sobre qualquer incidente que possa comprometer a
disponibilidade, a integridade, a confidencialidade e a autenticidade das informações sob
sua custódia ou sobre qualquer fato em desacordo com a POSIN da qual tome
conhecimento.
CAPÍTULO VI
DAS PENALIDADES
Art. 62. A violação das regras estabelecidas na POSIN ou suas normas internas
de segurança, por qualquer pessoa física ou jurídica, acarretará as penalidades civis, penais
e administrativas previstas na legislação, conforme o caso.
CAPÍTULO VII
DAS DISPOSIÇÕES FINAIS
Art. 63. Esta POSIN, suas normas internas de segurança e suas atualizações
deverão ser divulgadas amplamente aos usuários de informações do Ministério dos
Transportes.
Parágrafo único. A POSIN, bem como todas as normas dela decorrentes,
deverão ser revisados e atualizados sempre que se fizer necessário, não excedendo o
período máximo de quatro anos.
Art. 64. As unidades do Ministério dos Transportes poderão propor normas
complementares a presente Política e submetê-las ao Comitê de Governança Digital e
Segurança da Informação - CGDSI.
Parágrafo único. Serão analisadas, ad referendum, do Comitê de Governança
Digital e Segurança da Informação - CGDSI do Ministério, as normas estabelecidas em
caráter extraordinário pelas unidades, dando celeridade ao processo até que ocorra a
deliberação em definitivo deste Comitê.
Art. 65. Os casos omissos e as dúvidas quanto a aplicação desta Portaria serão
analisados, dirimidos ou solucionados pelo Comitê de Governança Digital e Segurança da
Informação - CGDSI e obedecerão aos normativos estabelecidos pelo Gabinete de
Segurança Institucional da Presidência da República - GSI/PR e demais normativos
correlatos.
Art. 66. Esta Portaria entra em vigor na data de sua publicação.
JOSÉ RENAN VASCONCELOS CALHEIROS FILHO
ANEXO I
CONCEITOS E DEFINIÇÕES
I - acesso: ato de ingressar, transitar, conhecer ou consultar a informação, bem
como possibilidade de usar os ativos de informação de um órgão ou entidade, observada
eventual restrição que se aplique.
II - agente público: todo aquele que exerce, ainda que transitoriamente ou sem
remuneração, por eleição, nomeação, designação, contratação, ou qualquer outra forma
de investidura ou vínculo, mandato, cargo, emprego ou função nos órgãos e entidades da
administração pública federal, direta e indireta.
III - ameaça: conjunto de fatores externos com o potencial de causar dano para
um sistema ou organização.
IV - ataque: ação que constitui uma tentativa deliberada e não autorizada para
acessar ou manipular informações, ou tornar um sistema inacessível, não íntegro ou
indisponível.
V - ativos de informação:
meios de armazenamento, transmissão e
processamento da informação, equipamentos necessários a isso, sistemas utilizados para
tal, locais onde se encontram esses meios, recursos humanos que a eles têm acesso e
conhecimento ou dado que tem valor para um indivíduo ou organização.
VI - auditoria: processo de exame cuidadoso e sistemático das atividades
desenvolvidas, cujo objetivo é averiguar se elas estão de acordo com as disposições
planejadas e estabelecidas previamente, se foram implementadas com eficácia e se estão
adequadas e em conformidade à consecução dos objetivos.
VII - autenticidade: propriedade pela qual se assegura que a informação foi
produzida, expedida, modificada ou destruída por uma determinada pessoa física,
equipamento, sistema, órgão ou entidade.
VIII - backup: conjunto de procedimentos que permite salvaguardar os dados
de um sistema computacional, garantindo guarda, proteção e recuperação. Tem a
fidelidade ao original assegurada. Esse termo também é utilizado para identificar a mídia
em que a cópia é realizada.
IX - comitê de governança digital e segurança da informação: grupo de pessoas
com a responsabilidade de assessorar a implementação das ações de segurança da
informação no âmbito do órgão ou entidade da administração pública federal.
X - computação em nuvem: modelo de fornecimento e entrega de tecnologia
de informação que permite acesso conveniente e sob demanda a um conjunto de recursos
computacionais configuráveis, sendo que tais recursos podem ser provisionados e
liberados com mínimo gerenciamento ou interação com o provedor do serviço de
nuvem;
XI - comprometimento: perda de segurança resultante do acesso não
autorizado.
XII - confidencialidade: propriedade pela qual se assegura que a informação não
esteja disponível ou não seja revelada à pessoa, ao sistema, ao órgão ou à entidade não
autorizados nem credenciados.
XIII - controlador: pessoa natural ou jurídica, de direito público ou privado, a
quem compete as decisões referentes ao tratamento de dados pessoais nos termos da Lei
Geral de Proteção de Dados - LGPD.
XIV - controle de acesso: conjunto de procedimentos, recursos e meios
utilizados com a finalidade de conceder ou bloquear o acesso ao uso de recursos físicos ou
computacionais. Via de regra, requer procedimentos de autenticação.
XV - cópia de segurança: vide backup.
XVI - credenciamento: processo pelo qual o usuário recebe credenciais de
segurança que concederão o acesso, incluindo a identificação, a autenticação, o
cadastramento de código de identificação e definição de perfil de acesso, em função de
autorização prévia.
XVII - custódia: consiste na responsabilidade de guardar um ativo para terceiro.
A custódia não permite automaticamente o acesso ao ativo, nem o direito de conceder
acesso a outros.
XVIII - custodiante de informação: pessoa ou órgão com atribuição fornecida
pelo proprietário da informação de proteger adequadamente esta informação em regime
de custódia.
XIX - dado pessoal: informação relacionada à pessoa natural identificada ou
identificável.
XX - descarte: eliminação correta de informações, documentos, mídias e
acervos digitais.
XXI - direito de acesso: privilégio associado a um cargo, pessoa ou processo,
para ter acesso a um ativo.
XXII - disponibilidade: propriedade pela qual se assegura que a informação
esteja acessível e utilizável, sob demanda, por uma pessoa física ou determinado sistema,
órgão ou entidade devidamente autorizados.
XXIII - dispositivos móveis: equipamentos portáteis, dotados de capacidade de
processamento, ou dispositivos removíveis de memória para armazenamento, entre os
quais se incluem, não limitando a estes: e-books, notebooks, netbooks, smartphones,
tablets, pendrives, USBdrives, HD externo, e cartões de memória.
XXIV - documentos classificados: documentos que contenham informação
classificada em qualquer grau de sigilo.
XXV - eliminação: exclusão de dado ou conjunto de dados, armazenados em
banco de dados, independentemente do procedimento empregado.
XXVI - e-mail: sigla de correio eletrônico (electronic mail)
XXVII - encarregado: pessoa indicada pelo controlador, para atuar como canal
de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de
Proteção de Dados.
XXVIII - equipe de prevenção, tratamento e resposta a incidentes cibernéticos:
grupo de agentes públicos com a responsabilidade de prestar serviços relacionados à
segurança cibernética para o órgão ou a entidade da administração pública federal, em
observância à política de segurança da informação e aos processos de gestão de riscos de
segurança da informação do órgão ou da entidade. Anteriormente era chamada de Equipe
de Tratamento de Incidentes de Rede.
XXIX - gestão de continuidade de serviços em segurança da informação:
processo que identifica ameaças potenciais para uma organização e os possíveis impactos
nas operações de negócio, caso estas ameaças se concretizem. Esse processo fornece uma
estrutura para que se desenvolva uma resiliência organizacional que seja capaz de
responder efetivamente e salvaguardar os interesses das partes interessadas, a reputação,
a marca da organização e suas atividades de valor agregado.
XXX - gestão de incidentes cibernéticos: processo que realiza ações sobre
qualquer evento adverso relacionado à segurança cibernética dos sistemas ou da
infraestrutura de computação do Ministério dos Transportes.
XXXI - gestão de riscos em segurança da informação: processo de natureza
permanente, estabelecido, direcionado e monitorado pela alta administração, que
contempla as atividades de identificação, avaliação e gerenciamento de potenciais eventos
Fechar