Aprova a Política de Segurança da Informação no âmbito do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome.
O MINISTRO DE ESTADO DO DESENVOLVIMENTO E ASSISTÊNCIA SOCIAL, FAMÍLIA E COMBATE À FOME, no uso das atribuições que lhe confere o artigo 87, parágrafo único, inciso II, da Constituição Federal, e
Considerando o disposto no Decreto nº 9.637, de 26 de dezembro de 2018, alterado pelo Decreto nº 10.641, de 2 de março de 2021, e na Instrução Normativa PR/GSI nº 1, de 27 de maio de 2020, resolve:
Art. 1º Aprovar a Política de Segurança da Informação (POSIN) no âmbito do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome.
Parágrafo único. Esta Política de Segurança da Informação é o documento em que a alta administração do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome declara formalmente o seu comprometimento em prover diretrizes estratégicas, responsabilidades, competências, apoio e recursos necessários à implementação da gestão da segurança da informação e de proteção de dados pessoais no Ministério, conforme a legislação vigente.
CAPÍTULO I
DO ESCOPO
Seção I
Dos objetivos e abrangência
Art. 2º A Política da Segurança da Informação tem como objetivos:
I – instituir as diretrizes estratégicas de Segurança da Informação do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome;
II – instituir a estrutura de Governança e Gestão de Segurança da Informação e Proteção de Dados Pessoais;
III – instituir os papéis, as responsabilidades e as competências quanto ao uso dos ativos de informação e ao compartilhamento de dados, informações e documentos;
IV – fortalecer a proteção dos ativos de informação e os dados pessoais contra a modificação, destruição, acesso ou divulgação não autorizada, garantindo sua confidencialidade, integridade, disponibilidade e autenticidade, considerando os níveis adequados de classificação e tratamento;
V – contribuir para a segurança do indivíduo, da sociedade e do Estado, por meio da orientação das ações de segurança da informação, observados os direitos e as garantias fundamentais;
VI – incorporar ações advindas das atividades de pesquisa científica, de desenvolvimento tecnológico e de inovação relacionadas à segurança da informação;
VII – fomentar a formação e a qualificação dos recursos humanos necessários à área de segurança da informação e de proteção de dados e às Secretarias responsáveis pela gestão de bases de dados nacionais;
VIII – fortalecer a cultura da segurança da informação neste Ministério;
IX – orientar ações relacionadas a:
a) segurança das informações e dados pessoais;
b) segurança da informação das infraestruturas críticas;
c) proteção das informações das pessoas físicas que possam ter sua segurança ou a segurança das suas atividades afetada, observada a legislação específica; e
d) tratamento das informações com restrição de acesso.
X – contribuir para a preservação da memória institucional deste Ministério.
Art. 3º As ações relacionadas à Segurança da Informação e Proteção de Dados Pessoais devem estar em conformidade com a legislação vigente, as normas técnicas pertinentes, os valores éticos e as melhores práticas para garantir a disponibilidade, a integridade, a confidencialidade, a autenticidade, a legalidade e a auditabilidade das informações e dados pessoais produzidos, gerenciados ou custodiados pelo Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome.
Art. 4º As diretrizes definidas neste documento norteiam a Segurança da Informação e comunicações e a proteção dos dados pessoais do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome. A governança, a gestão e a operação da Segurança da Informação devem seguir os princípios que regem a Administração Pública Federal.
Art. 5º Integram a Política de Segurança da Informação as políticas específicas, as normas complementares, os padrões, os procedimentos e as instruções destinados à proteção da informação e dos dados pessoais e à disciplina de sua utilização.
Parágrafo único. A Política de Segurança da Informação e seus documentos complementares devem ser aplicados, no que couber, a todos os ativos de informação e aos dados pessoais geridos ou custodiados pelo Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome.
Art. 6º O Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome deve observar as diretrizes, estrutura, papéis e responsabilidades estabelecidos nesta Política de Segurança da Informação e em seus documentos complementares.
Art. 7º As ações de Segurança da Informação devem considerar, prioritariamente, os objetivos estratégicos, processos, planos institucionais, requisitos legais e a estrutura do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome.
Art. 8º As disposições da Política de Segurança da Informação aplicam-se aos servidores, prestadores de serviço, fornecedores, estagiários, consultores, conselheiros e a quem, de alguma forma, ainda que transitoriamente ou sem remuneração, execute atividades vinculadas ou que tenha acesso às informações ou dados pessoais geridos ou custodiados pelo Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome, nos termos da legislação e dos contratos, acordos e instrumentos firmados.
Parágrafo único. As pessoas a quem se refere o caput devem estar comprometidas com a Segurança da Informação e com a proteção dos dados pessoais conforme legislação vigente.
Art. 9º Os contratos, acordos e outros instrumentos congêneres celebrados pelo Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome devem prever o atendimento das disposições desta Portaria.
Art. 10. A Política de Segurança da Informação aplica-se, no que couber, às relações do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome com outros órgãos públicos e com entidades privadas.
Art. 11. Esta Política de Segurança da Informação e suas Normas Complementares abrangem os aspectos de segurança lógica, física, organizacional e humana.
Art. 12. Este documento alcança todas as pessoas que tenham acesso aos ativos de informação e aos dados pessoais coletados, produzidos, geridos ou custodiados por este Ministério.
Seção II
Dos conceitos e definições
Art. 13. No âmbito da Política de Segurança da Informação e em seus documentos complementares, os conceitos, termos e definições serão descritas no Anexo I – Dicionário de termos e outros conceitos podem ser consultados no Glossário de Segurança da Informação do Departamento de Segurança da Informação do Gabinete Institucional da Presidência da República.
CAPÍTULO II
DOS PRINCÍPIOS
Art. 14. As ações da Segurança da Informação devem obedecer aos princípios constitucionais, administrativos e do arcabouço legislativo vigente que regem a Administração Pública Federal.
Art. 15. Os documentos complementares a esta Política de Segurança da Informação devem nortear-se pelos princípios que regem a Segurança da Informação:
I – necessidade de conhecer;
II – segregação de funções;
III – defesa em camadas;
IV – proteção de dados pessoais;
V – proteção da privacidade;
VI – visão abrangente, sistêmica e integrada da governança e da gestão segurança da informação;
VII – intercâmbio científico e tecnológico relacionado à segurança da informação entre o Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome e os demais órgãos e entidades da administração pública federal;
VIII – educação como alicerce fundamental para o fomento da cultura em segurança da informação;
IX – orientação à gestão de riscos e à gestão da segurança da informação;
X – prevenção e tratamento de incidentes de segurança da informação;
XI – articulação entre as ações de segurança cibernética, de defesa cibernética e de proteção de dados e ativos da informação;
XII – sigilo das informações imprescindíveis à segurança da sociedade e do Estado e a inviolabilidade da intimidade da vida privada, da honra e da imagem das pessoas;
XIII – necessidade de conhecer para o acesso à informação sigilosa, nos termos da legislação;
XIV – cooperação com órgãos de investigação e com as entidades públicas no processo de credenciamento de pessoas para acesso às informações sigilosas;
XV – integração e cooperação entre o Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome, o setor empresarial, a sociedade e as instituições acadêmicas; e
XVI – cooperação internacional, no campo da segurança da informação.
CAPÍTULO III
DAS DIRETRIZES GERAIS
Art. 16. A estrutura de Governança e Gestão de Segurança da Informação deve planejar medidas de proteção aos ativos de informação e balancear os custos na aplicação de controles de medidas preventivas, de acordo com os danos potenciais de falhas de segurança.
Art. 17. O Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome, além das diretrizes estabelecidas nesta Política de Segurança da Informação, deve se orientar pelas melhores práticas e procedimentos de Segurança da Informação recomendados por órgãos e entidades públicas e privadas responsáveis pelo estabelecimento de padrões.
Art. 18. O cumprimento desta política de segurança e de seus documentos correlatos deverá ser avaliado periodicamente por meio de verificações de conformidade a ser realizada por Câmara Técnica Temática relacionada à segurança da informação e proteção de dados, a ser instituída pelo Comitê Interno de Governança (CIGMDS), de acordo com os requisitos de Segurança da Informação e garantia de cláusula de responsabilidade e sigilo.
Art. 19. Devem ser priorizados ações e investimentos com vistas à correta aplicação de mecanismos de proteção, tendo como base as exigências estratégicas e necessidades operacionais prioritárias do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome e as implicações que o nível de segurança poderá trazer ao cumprimento dessas exigências.
Art. 20. A Estrutura de Governança e Gestão de Segurança da Informação do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome deve instituir normas e procedimentos que garantam a adequada governança, gestão, proteção e uso dos ativos de informação e dos dados pessoais do Ministério, em conjunto com as unidades responsáveis pelos respectivos ativos.
Art. 21. Deve-se estabelecer um processo integrado de Gerenciamento de Riscos de Segurança da Informação com o objetivo de direcionar e de controlar o risco de segurança da informação, a fim de adequá-lo aos níveis aceitáveis para o Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome. Esse tema deverá ser detalhado em norma complementar conforme legislação vigente.
Parágrafo único. As ações, procedimentos e normativos de Gestão de Riscos de Segurança da Informação devem estar em consonância com a Política de Gestão de Riscos Institucional do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome, além de considerar, preliminarmente:
I – os processos internos institucionais;
II – os requisitos legais;
III – a política de segurança da informação;
IV – a política de gestão de riscos institucional;
V – a política de privacidade;
VI – os instrumentos de planejamento estratégico;
VII – a estrutura do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome; e
VIII – outras políticas ou regulamentos institucionais, no que couber.
Art. 22. Os estudos, pesquisas, projetos, códigos de sistemas e informações que utilizem dados coletados, geridos ou custodiados pelo Ministério produzidas por servidores, prestadores de serviço, fornecedores, estagiários, consultores e conselheiros, no exercício de suas funções, ainda que transitoriamente ou sem remuneração, nos termos da legislação e dos contratos, acordos e instrumentos firmados, são patrimônio intelectual do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome, na forma da legislação vigente.
Art. 23. A Estrutura de Governança e Gestão de Segurança da Informação deve apoiar e orientar a tomada de decisões institucionais e otimizar investimentos em segurança que visem à eficiência, eficácia e efetividade das atividades de Segurança da Informação e de Proteção de Dados Pessoais.
Art. 24. O modelo de Governança e Gestão de Segurança da Informação do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome deverá ser integrado e suportado pelos subsídios gerados pela Gestão de Riscos, Gestão de Ativos, Gestão de Incidentes, Gestão de Continuidade de Negócio e Gestão de Conformidade, dentre outros, em consonância com o especificado nas diretrizes desta Política de Segurança da Informação.
Art. 25. A Governança e Gestão de Segurança da Informação devem suportar a tomada de decisões, bem como realizar a gestão de conhecimento e de recursos por meio da utilização eficiente e eficaz dos ativos, possibilitando alcançar os objetivos estratégicos do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome, assim como otimizar seus investimentos.
Art. 26. As normas, procedimentos, manuais e metodologias de Segurança da Informação do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome devem considerar, subsidiariamente, normas e padrões aceitos no mercado como referência nos processos de governança e gestão de Segurança da Informação e devem estipular mecanismos que garantam a orientação à conformidade dos controles de Segurança da Informação associados, inclusive sua auditabilidade.
Art. 27. Deve ser estabelecida a integração e sinergia entre as instâncias e estruturas de supervisão e apoio definidas nesta Política de Segurança da Informação e aquelas definidas em outras políticas do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome, por meio de modelos de relacionamento que considerem e compartilhem, quando possível, as competências, responsabilidades, informações e as próprias estruturas.
Art. 28. As violações de segurança da informação e proteção de dados devem ser registradas e tais registros analisados periodicamente para os propósitos de caráter preventivo e corretivo, legais e de auditoria. Com o objetivo de reduzir o risco de fraude, erro e desvio de controles de segurança da informação, o Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome deve determinar quais funções e áreas de responsabilidade precisam ser segregadas, tais como:
I – iniciar, aprovar e executar mudanças;
II – solicitar, aprovar e implementar direitos de acesso;
III – projetar, implementar e revisar códigos;
IV – desenvolvimento de software e administração de sistemas de produção;
V – utilização e administração de aplicações; e
VI – controles de segurança da informação.
CAPÍTULO IV
DAS DIRETRIZES ESPECÍFICAS
Art. 29. Para cada uma das diretrizes constantes das seções deste capítulo devem ser elaboradas, no que couber, normas complementares à esta Política de Segurança da Informação, padrões, manuais, metodologias e procedimentos.
Seção I
Dos recursos humanos
Art. 30. Os usuários de informação devem ter ciência:
I – das ameaças e preocupações relativas à Segurança da Informação; e
II – de suas responsabilidades e obrigações no âmbito desta Política de Segurança da Informação.
Art. 31. A Política de Segurança da Informação e suas normas complementares devem ser divulgadas e acessíveis para todos os usuários, devendo esses ter ciência e praticar as diretrizes e boas práticas de Segurança da Informação.
Parágrafo único. Todos os usuários devem assinar o Termo de Responsabilidade e Sigilo – Anexo II quanto a Política de Segurança da Informação e suas normas complementares.
Art. 32. Todos os usuários devem difundir e exigir o cumprimento da Política de Segurança da Informação, das normas de segurança e da legislação vigente acerca do tema.
Art. 33. Devem ser estabelecidos em norma complementar, pela estrutura de Governança e de Gestão de Segurança da Informação, processos permanentes de conscientização, capacitação e sensibilização em segurança da informação e em proteção de dados, que alcancem todos os usuários do Ministério, de acordo com suas competências funcionais.
Parágrafo único. É dever de todos os usuários de informação do Ministério realizar, minimamente, os cursos de fundamentos em segurança da informação e em proteção de dados disponíveis nas escolas de governo.
Art. 34. Devem ser implementadas medidas de segurança relacionadas ao trabalho remoto para proteger as informações acessadas, processadas ou armazenadas fora das instalações do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fo m e .
Seção II
Da gestão dos ativos de informação
Art. 35. A estrutura de Gestão de Segurança da Informação deve definir um processo de Mapeamento dos Ativos de Informação e de Dados Pessoais conforme legislação vigente.
Art. 36. Os ativos de informação fornecidos pelo Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome, tais como e-mail, computador, notebook, dentre outros, são de uso corporativo, para os fins a que se destinam e no interesse da administração, sendo considerada imprópria a utilização desses ativos para propósitos não profissionais ou não autorizados.
Art. 37. O acesso dos usuários aos ativos de informação, bem como aos dados pessoais e sua utilização, quando autorizados, deve ser condicionado ao aceite do Termo de Responsabilidade e Sigilo – Anexo II.
Art. 38. Os ativos de informação do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome, tais como e-mail, internet, intranet, VPN, computadores, sistemas e informações são passíveis de monitoramento e deve ter seu uso investigado, quando houver indícios de quebra de segurança, por meio de mecanismos que permitam a rastreabilidade do uso desses ativos.
Art. 39. A Estrutura de Governança e Gestão de Segurança da Informação do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome deve instituir normas e procedimentos que garantam a adequada gestão dos ativos de informação do Ministério, que incluam o fornecimento, uso e devolução dos ativos, em conjunto com as unidades responsáveis pelos respectivos ativos.
Art. 40. Ações e controles específicos de segurança deverão garantir a proteção adequada dos ativos de informação do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome, em níveis compatíveis ao seu grau de importância para a consecução das atividades e objetivos estratégicos do órgão.
Art. 41. Os ativos de informação e os dados pessoais devem ser associados a controles de segurança implementados independentemente do meio em que se encontram, devendo ser protegidos contra divulgação, modificações, remoção ou destruição não autorizadas.
Art. 42. Os gestores dos ativos informação devem estabelecer regras e mecanismos de Segurança da Informação que visem à manutenção de uma base de conhecimento sobre as informações compartilhadas no Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome, observadas as normas de Segurança da Informação e de proteção de dados pessoais e a legislação pertinente.
Art. 43. Devem ser definidas regras para o uso aceitável dos ativos de informação e procedimentos para o manuseio de informações e dos dados pessoais devem ser identificados, documentados e implementados.
Art. 44. As pessoas e usuários externos que usem ou tenham acesso às informações ou dados pessoais e outros ativos associados geridos ou custodiados pelo Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome devem estar cientes dos requisitos de segurança da informação para proteger e lidar com as informações, dados pessoais e outros ativos associados.
Art. 45. Deve ser formalizado um processo de devolução de todos os ativos físicos e eletrônicos previamente emitidos de propriedade ou confiados ao Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome.
Art. 46. Nos casos de uso de equipamentos pessoais, devem ser estabelecidos e seguidos procedimentos para assegurar que todas as informações relevantes sejam rastreadas e transferidas para o Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome e excluídas com segurança do equipamento.
Art. 47. As atividades operacionais de Tecnologia da Informação do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome devem ser documentadas e devem compor uma base de conhecimento das operações realizadas por servidores, contratados e prestadores de serviços do Ministério.
Seção III
Da classificação e do tratamento da informação e dos dados pessoais
Art. 48. O Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome deve criar, gerir e avaliar critérios de tratamento e classificação da informação e dos dados pessoais de acordo com o sigilo requerido, relevância, criticidade e sensibilidade, observando a legislação em vigor.
Art. 49. Toda informação institucional deste Ministério em qualquer suporte, materiais, áreas, comunicações e sistemas de informação institucionais, é patrimônio do Estado brasileiro e deve ser tratada nos termos da legislação pertinente em vigência.
Art. 50. O tratamento da informação e dos dados pessoais ao longo de seu ciclo de vida deve ser realizado de modo ético e responsável pelos agentes e servidores públicos deste Ministério.
Art. 51. O tratamento da informação e dos dados pessoais deve ser feito conforme a legislação vigente e as boas práticas, assegurando-se os requisitos da disponibilidade, da integridade, da confidencialidade e da autenticidade da informação e dos dados pessoais em todo seu ciclo de vida.
Art. 52. As informações e dados pessoais armazenados em sistemas de informação, dispositivos ou em qualquer outra mídia de armazenamento devem ser excluídas quando não forem mais necessárias, com o objetivo de reduzir os riscos da exposição desnecessária de informações confidenciais e dos dados pessoais geridos e custodiados pelo Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome.
Seção IV
Dos controles de acesso
Art. 53. O controle de acesso aos ativos de informação e aos dados pessoais e o acesso às informações em áreas e instalações consideradas críticas devem ser implantados nos níveis físico e lógico e serão definidos em norma específica, em conformidade com as diretrizes desta Política de Segurança da Informação.
Art. 54. A estrutura de Segurança da Informação deve estabelecer e implementar um processo de gerenciamento de identidades com regras específicas de acesso aos ativos de informação, em conformidade com a legislação vigente, e em especial quanto ao acesso às informações em áreas e instalações consideradas críticas, bem como aos dados pessoais.
Parágrafo único. Deve ser gerenciado o ciclo de vida completo das identidades para permitir a identificação única de indivíduos e sistemas que acessam os ativos de informação do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome e para permitir a cessão adequada de direitos de acesso.
Art. 55. O acesso às informações e aos recursos de processamento da informação devem ser limitados, formalmente autorizados, com regras específicas de aprovação, provisionamento, revisão, ajuste e remoção, tendo como base papéis e responsabilidades, estrutura da instituição e obedecendo a legislação em vigor.
Parágrafo único. Devem ser implementados, em conformidade com a legislação vigente, sempre que necessário, controles de mascaramento de dados, pseudônimo ou anonimização, com o objetivo de limitar a exposição de dados confidenciais, incluindo informações pessoalmente identificáveis.
Art. 56. É responsabilidade do setor de Gestão de Pessoas disponibilizar os registros de todas as movimentações de pessoal ocorridas, na forma definida por norma complementar.
Seção V
Da criptografia
Art. 57. Deve ser utilizada Algoritmo de Estado no tratamento ou na transferência de informações sensíveis, sigilosas, classificadas e de dados pessoais ou de informações que possam comprometer a segurança do Estado e da Sociedade, conforme a legislação vigente.
Seção VI
Da segurança física e do ambiente
Art. 58. A Estrutura de Governança e Gestão de Segurança da Informação deve definir e implementar, em conjunto com a Segurança Patrimonial, controles de Segurança da Informação que impeçam perdas, danos, furtos ou comprometimento dos ativos de informação e dos dados pessoais ou interrupção das operações deste Ministério.
Seção VII
Da segurança nas operações
Art. 59. Os procedimentos operacionais devem ser documentados e disponibilizados para os usuários, para a correta e segura operação dos ativos de informação.
Art. 60. Procedimentos de gestão de capacidade devem ser realizados pela área responsável pela Tecnologia da Informação (TI) para que a utilização dos ativos de informação seja monitorada e ajustada, e que as projeções sejam feitas para necessidades futuras, garantindo o desempenho necessário dos ativos de informação.
Art. 61. Os ambientes de desenvolvimento, teste e produção de software devem ser segregados para reduzir riscos de acessos ou modificações indevidos ou não autorizados no ambiente de produção.
Art. 62. É responsabilidade da Subsecretaria de Tecnologia da Informação a implementação de controles de detecção, prevenção e recuperação nos ativos de informação contra códigos maliciosos, combinando com um programa adequado de conscientização dos usuários do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome.
Art. 63. Todos os registros de eventos (logs) dos ativos de informação, das atividades (de usuários, operadores e administradores de ativos), exceções, falhas e eventos/incidentes de Segurança da Informação devem ser produzidos, mantidos e analisados criticamente de forma planejada e quando houver quebra de segurança nos ativos de informação ou dos dados pessoais.
Art. 64. Devem ser implementados controles de Segurança da Informação nos registros de eventos (logs) que permitam trilhas de auditoria e que possam reduzir os riscos de acessos e adulterações indevidos.
Art. 65. A Estrutura de Governança e Gestão em Segurança da Informação deve estabelecer parâmetros adequados, relacionados à Segurança da Informação, para a disponibilização dos serviços, sistemas e infraestrutura que os apoiam, de forma que atendam aos requisitos mínimos de qualidade e reflitam as necessidades operacionais do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome. Os acordos de nível de serviço devem ser compatíveis com padrões de mercado e com os requisitos de segurança da informação.
Seção VIII
Da gestão de mudanças
Art. 66. Um processo de Gestão de Mudanças deve ser implementado para que as mudanças realizadas nos ativos de informação sejam planejadas e controladas.
Parágrafo único. O processo de gestão de mudanças de segurança da informação tem por objetivo preparar e adaptar o Ministério para as mudanças decorrentes da evolução de processos e de tecnologias da informação, visando à obtenção de mudanças eficazes e eficientes e à mitigação de eventuais resistências.
Seção IX
Da segurança nas comunicações
Art. 67. Devem ser implementados controles de Segurança da Informação para proteger as informações e os dados pessoais em todo seu ciclo de vida bem como os recursos de rede e de tratamento dessas informações e dados.
Art. 68. Devem ser definidos e implementados normas, procedimentos e controles de segurança adequados para a transferência das informações e dos dados pessoais com quaisquer entidades externas de acordo com a classificação, criticidade e sensibilidade e em conformidade com a legislação pertinente.
Seção X
Da aquisição, desenvolvimento e manutenção de sistemas
Art. 69. A Segurança da Informação deve ser projetada e implementada em todo o ciclo de desenvolvimento e manutenção de sistemas de informação, seguindo os princípios e metodologia de desenvolvimento seguro.
Seção XI
Da segurança da informação para uso de serviços em nuvem
Art. 70. Devem ser estabelecidos processos para aquisição, uso, gerenciamento e saída de serviços em nuvem em conformidade com os requisitos de segurança da informação do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fo m e .
Seção XII
Dos fornecedores e prestadores de serviço
Art. 71. Devem ser definidos e implementados processos e procedimentos para gerenciar a segurança da informação e os riscos associados ao uso dos produtos e serviços prestados por fornecedores, inclusive os prestadores de serviço em nuvem, para reduzir os riscos relacionados ao acesso de terceiros aos ativos de informação e aos dados pessoais geridos, custodiados ou tratados neste Ministério.
Art. 72. Tais processos e procedimentos devem incluir aqueles a serem implementados pelo Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome, bem como aqueles que o Ministério exige que o fornecedor implemente no início ou no término do contrato.
Art. 73. Os contratos, convênios ou instrumentos congêneres devem ser estabelecidos e documentados para assegurar que haja um entendimento claro entre o Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome e o fornecedor ou prestador de serviço sobre as obrigações de ambas as partes de cumprir com os requisitos relevantes de segurança da informação.
Art. 74. O Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome deve estabelecer e manter acordos de compartilhamento de informações nos contratos, convênios e instrumentos congêneres, bem como analisar criticamente, validar e atualizar regularmente esses acordos para assegurar que ainda sejam necessários e adequados para o propósito pelos quais foram estabelecidos.
Art. 75. O Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome deve monitorar, analisar criticamente, avaliar e gerenciar regularmente a mudança nas práticas de segurança da informação nos contratos, convênios e instrumentos congêneres.
Art. 76. Os fornecedores e prestadores de serviço devem ser submetidos à legislação brasileira.
Art. 77. Todas as contratações devem prever requisitos de Segurança da Informação e proteção dos dados pessoais e dos ativos de informação. As áreas de negócio devem alinhar os requisitos necessários com as equipes de Segurança da Informação do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome.
Art. 78. Cabe aos prestadores de serviço e fornecedores, conforme previsto em contrato:
I – tomar conhecimento desta Política de Segurança da Informação e divulgá-la a seus empregados;
II – apresentar termo de compromisso e de ciência da declaração de manutenção do sigilo, assinado por cada profissional, além de comprometer-se a manter sigilo sobre as informações e dados pessoais a que tiver acesso;
III – fornecer listas atualizadas de todos os empregados que estejam alocados nas dependências do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome, ou que transitoriamente ou, ainda, remotamente, tenham acesso a quaisquer ativos de informação do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fo m e;
IV – fornecer listas atualizadas da documentação dos ativos, licenças, acordos ou direitos relacionados aos ativos de informação objetos do contrato; e
V – fornecer a documentação dos sistemas, produtos e serviços relacionados às suas atividades.
Art. 79. Nos casos de obtenção de informações de terceiros, o gestor da área na qual a informação será utilizada deve, se necessário, providenciar junto ao cedente a documentação formal relativa à cessão de direitos sobre informações de terceiros antes de seu uso.
Art. 80. Os acordos com terceiros podem também envolver outras partes.
Parágrafo único. Os acordos que concedam o acesso a terceiros podem incluir, quando necessário e justificado, permissão para designação de outras partes autorizadas e condições para os seus acessos desde que expressamente autorizadas pelo Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome.
Art. 81. Todos os contratos, convênios, acordos e instrumentos congêneres devem conter cláusulas que estabeleçam a obrigatoriedade de observância desta Política de Segurança da Informação e suas normas complementares.
Art. 82. O contrato, convênio, acordo ou instrumento congênere deverá prever a obrigação da outra parte de divulgar esta Política de Segurança da Informação e suas normas complementares aos seus empregados e prepostos envolvidos em atividades no Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome.
Art. 83. Um plano de contingência deve ser elaborado no caso de uma das partes desejar encerrar a relação antes do final do acordo.
Art. 84. Esta Política de Segurança da Informação deverá ser considerada como subsídio essencial para confecção do processo de aquisição de ativos de tecnologia de informação. Cabe aos fornecedores e prestadores de serviços a submissão à legislação vigente de segurança da informação e proteção de dados.
Art. 85. Os prestadores de serviços ou fornecedores devem reportar os incidentes de segurança da informação e de proteção de dados tempestivamente ao Gestor de Segurança da Informação, à Equipe de Tratamento e Resposta a Incidentes Cibernéticos (ETIR) do Ministério e aos responsáveis pelas unidades finalísticas para conhecimento e providências cabíveis.
Seção XIII
Da gestão de incidentes de segurança da informação
Art. 86. Deve-se instituir metodologia e norma que estabeleçam um processo de gestão de incidentes de Segurança da Informação que seja consistente e efetivo e que permita respostas rápidas, efetivas e ordenadas aos incidentes de Segurança da Informação, incluindo a comunicação sobre fragilidades e eventos relacionados.
Art. 87. Será mantida a Equipe de Tratamento e Resposta a Incidentes Cibernéticos (ETIR), com a responsabilidade de receber, analisar e responder notificações e atividades relacionadas a incidentes de segurança da informação.
Art. 88. Os membros da ETIR devem ter perfil técnico adequado às funções de tratamento de incidentes em redes computacionais.
Art. 89. A ETIR deve observar as normas técnicas e orientações, bem como manter um canal de comunicação com o Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo.
Art. 90. O conhecimento adquirido sobre os incidentes de segurança da informação deve ser usado para fortalecer e melhorar os controles de segurança da informação do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome e para reduzir a probabilidade ou as consequências de futuros incidentes.
Seção XIV
Da gestão de continuidade dos serviços
Art. 91. Uma gestão de continuidade dos serviços deve ser adotada, mantida e periodicamente testada, a fim de minimizar as chances de uma interrupção ou impacto causado por incidentes e desastres nos ativos de informação e nos dados pessoais, que suportam os processos vitais do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome, até que se retorne à normalidade.
Art. 92. Os ativos de informação que suportam processos, funções ou operações críticas do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome, devem assegurar a capacidade de recuperação, os prazos e as condições definidas em situações de adversas ou em casos de incidentes de segurança da informação.
Art. 93. O Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome deve coletar informações de ataques atuais ou potenciais que possam impactar os ativos de informação ou as políticas públicas do Ministério. As informações devem ser analisadas, refinadas e organizadas para minimizar os impactos e mitigar os riscos de segurança cibernética.
Seção XV
Da segurança da informação na gestão de projetos
Art. 94. A segurança da informação deve ser integrada à gestão de projetos do Ministério para assegurar que os riscos de segurança da informação sejam abordados como parte da gestão do projeto.
Seção XVI
Da transferência das informações
Art. 95. Regras, procedimentos ou acordos de transferência de informações devem ser definidos e implementados para todos os tipos de transferência dentro do Ministério e entre o Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome e outras partes externas interessadas.
Art. 96. As regras, procedimentos e acordos para proteger informações em trânsito devem refletir a classificação das informações envolvidas. Devem ser estabelecidos e mantidos acordos de transferência (incluindo a autenticação do destinatário) para proteger as informações em todas as formas em trânsito entre o Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome e terceiros.
Seção XVII
Da auditoria e conformidade
Art. 97. Todos os requisitos legais, estatutários, regulamentares e contratuais relevantes para a segurança da informação e para a proteção de dados pessoais devem ser identificados, documentados, mantidos e implementados pelo Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome.
Art. 98. Procedimentos apropriados devem ser implementados para garantir a conformidade com as normas legais, estatutárias e requisitos contratuais relacionados a direitos de propriedade intelectual e uso de produtos de softwares proprietários.
Art. 99. Deve ser realizada a avaliação de conformidade nos aspectos de segurança da informação que proporcione adequado grau de confiança a um determinado processo, mediante o atendimento de requisitos definidos em políticas, procedimentos, normas ou em regulamentos técnicos aplicáveis.
Art. 100. O fornecedor ou prestador de serviço pode ser convocado em caso de incidentes de segurança da informação para responder questões relacionadas à auditoria.
CAPÍTULO V
DA ESTRUTURA DE GOVERNANÇA E GESTÃO DE SEGURANÇA DA INFORMAÇÃO E DE PROTEÇÃO DE DADOS, SUAS COMPETÊNCIAS E RESPONSABILIDADES
Art. 101. A Segurança da Informação é disciplina fundamental da boa governança corporativa, sendo de responsabilidade da alta administração do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome.
Art. 102. Para assessorar o Ministro de Estado do Desenvolvimento e Assistência Social, Família e Combate à Fome nas atividades de definição e implementação de diretrizes, políticas, normas e procedimentos relativos à Segurança da Informação, fica instituída a Estrutura de Governança e Gestão de Segurança da Informação do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome, com atribuições definidas nesta Política de Segurança da Informação.
Art. 103. A Estrutura de Governança e Gestão de Segurança da Informação do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome deve ser capaz de apoiar os diversos níveis hierárquicos do Ministério e seus órgãos no objetivo de integrar os controles e processos de Segurança da Informação e aos processos organizacionais existentes.
Parágrafo único. A participação na referida estrutura e eventuais grupos de trabalho associados não enseja remuneração de qualquer espécie ou quaisquer criações de cargos além daqueles já existentes na estrutura regimental do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome, sendo considerada serviço público relevante.
Art. 104. A Estrutura de Governança e Gestão de Segurança da Informação do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome será composta:
I – pelo Comitê Interno de Governança do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome;
II – pelo Comitê de Governança Digital;
III – pelas Câmaras Técnicas Temáticas;
IV – pelo Gestor de Segurança da Informação do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome;
V – pela Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos – ETIR;
VI – pelos gestores de ativos de informação;
VII – pelo agente responsável pela ETIR;
VIII – pelo agente responsável pela gestão de continuidade de negócios;
IX – pelo agente responsável pela gestão de mudança;
X – pelo agente responsável pelo mapeamento dos ativos de informação; e
XI – pelo agente responsável pela gestão de riscos.
§ 1º O Gestor de segurança da informação do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome será convidado a participar das reuniões em que constarem da pauta os temas relacionados à Gestão de Riscos, Tecnologia da Informação, Segurança da Informação e à Proteção de Dados Pessoais.
§ 2º As atribuições relacionadas ao Comitê Interno de Governança, ao Comitês de Governança Digital e às Câmaras Técnicas estão dispostas nos normativos internos relacionados à governança institucional do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome.
§ 3º As atribuições dos agentes responsáveis estão definidas na legislação vigente de segurança da informação da Secretaria de Segurança da Informação e Cibernética do Gabinete de Segurança Institucional da Presidência da República (SSIC/GSI/PR).
Art. 105. O gestor de segurança da informação do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome, será nomeado pelo Ministro de Estado do Desenvolvimento e Assistência Social, Família e Combate à Fome, conforme legislação em vigor, e terá as seguintes atribuições:
I – acompanhar as investigações e as avaliações dos danos decorrentes de quebras de segurança da informação e dados pessoais;
II – propor recursos necessários às ações de segurança da informação;
III – participar das reuniões do Comitê Interno de Governança e do Comitê de Governança Digital quando se tratar de assuntos relacionados à segurança da informação e à proteção de dados;
IV – realizar e acompanhar estudos e novas tecnologias, no tocante a possíveis impactos na segurança da informação e na proteção de dados pessoais;
V – representar o Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome no Comitê Gestor de Segurança da Informação do Departamento de Segurança da Informação do Gabinete de Segurança Institucional da Presidência da República;
VI – manter contato direto com o Departamento de Segurança da Informação do Gabinete de Segurança Institucional da Presidência da República;
VII – manter contato direto com a Agência Nacional de Proteção de Dados Pessoais, juntamente com o Encarregado da Lei Geral de Proteção de Dados Pessoais – LGPD, em casos de incidentes de segurança cibernética que possam comprometer os dados pessoais geridos e custodiados pelo Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome;
VIII – propor normas relativas à Segurança da Informação; e
IX – acompanhar e monitorar as atividades das câmaras técnicas de segurança da informação, de proteção de dados e tecnologia da informação.
Art. 106. Os gestores de segurança da informação e proteção de dados das Unidades Administrativas do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome, terão as seguintes atribuições:
I – implementar os controles de segurança da informação definidos nesta Política de Segurança da Informação e em seus documentos complementares, nos ativos de informação e nos dados pessoais sob sua responsabilidade;
II – recolher e consolidar as evidências da implementação dos controles de segurança da informação nos ativos de informação e nos dados pessoais sob sua responsabilidade e apresentá-las ao Comitê;
III – elaborar relatório de monitoramento das atividades e processos de gestão de segurança da informação e de proteção de dados pessoais;
V – orientar os funcionários e os contratados sob sua responsabilidade a respeito das práticas a serem tomadas em relação à segurança da informação e à proteção de dados pessoais.
Art. 107. Cabe ao Gestor de Ativo de Informação:
I – garantir a segurança dos ativos de informação sob sua responsabilidade;
II – definir e gerir os requisitos de segurança para os ativos de informação sob sua responsabilidade, em conformidade com esta Política de Segurança da Informação e com seus documentos complementares;
III – conceder e revogar acessos aos ativos de informação;
IV – comunicar à ETIR a ocorrência de incidentes de Segurança da Informação e de proteção de dados;
V – designar os custodiantes dos ativos de informação, quando aplicável;
VI – manter registro das operações de tratamento de dados pessoais que realizarem; e
VII – manter o inventário e mapeamento dos ativos de informação sob sua responsabilidade.
Parágrafo único. O gestor de ativo da informação pode ser equiparado ao controlador conforme disposto na Lei Geral de Proteção de Dados Pessoais em vigor.
Art. 108. Cabe ao custodiante do ativo de informação proteger e manter as informações, bem como controlar o acesso, conforme requisitos definidos pelo gestor de ativo de informação e dos dados pessoais e em conformidade com esta Política de Segurança da Informação e seus documentos complementares.
Parágrafo único. O custodiante do ativo da informação pode ser equiparado ao operador descrito na Lei Geral de Proteção de Dados Pessoais em vigor.
Art. 109. Cabe ao titular das unidades administrativas:
I – corresponsabilizar-se pelas ações realizadas por aqueles que estão sob sua responsabilidade;
II – incorporar e manter aos processos de trabalho de sua unidade, ou de sua área, práticas inerentes à Segurança da Informação;
III – tomar as medidas administrativas necessárias para que sejam aplicadas ações corretivas nos casos de violações da Segurança da Informação por parte dos usuários sob sua supervisão;
IV – informar à área de Gestão de Pessoas deste Ministério sobre a movimentação de pessoal de sua unidade; e
V – comunicar à ETIR a ocorrência de incidentes de Segurança da Informação e de proteção de dados.
Art. 110. Cabe aos terceiros e fornecedores:
I – tomar conhecimento desta Política de Segurança da Informação;
II – fornecer listas atualizadas da documentação dos ativos, licenças, acordos ou direitos relacionados aos ativos de informação objetos do contrato;
III – fornecer toda a documentação dos sistemas, produtos, serviços relacionados às suas atividades;
IV – adotar medidas de segurança, técnicas e administrativas aptas a proteger os ativos de informação e os dados pessoais, sob sua custódia, de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, conforme legislação em vigor;
V – manter registro das operações de tratamento de dados pessoais que realizarem; e
VI – assinar o Termo de Responsabilidade e Sigilo – Anexo II.
Art. 111. Cabe aos usuários:
I – conhecer e cumprir todos os princípios, diretrizes e responsabilidades desta Política de Segurança da Informação, bem como os demais normativos e resoluções relacionados à Segurança da Informação e proteção de dados pessoais;
II – assinar o Termo de Responsabilidade e Sigilo – Anexo II;
III – obedecer aos requisitos de controle de segurança da informação especificados pelos gestores e custodiantes dos ativos de informação; e
IV – comunicar à ETIR a ocorrência de incidentes de Segurança da Informação e de proteção de dados.
Art. 112. O funcionamento e composição da câmara técnica de Segurança da Informação e de Proteção de Dados serão regulados por regimentos internos, que deverão ser definidos e aprovados em reunião do Comitê Interno de Governança do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome.
CAPÍTULO VI
DAS PENALIDADES
Art. 113. Ações que violem a Política de Segurança da Informação ou que quebrem os controles de Segurança da Informação e de proteção de dados pessoais serão devidamente apuradas e aos responsáveis serão aplicadas as sanções penais, administrativas e civis em vigor.
CAPÍTULO VII
DAS VEDAÇÕES
Art. 114. É vedado comprometer a disponibilidade, a integridade, a confidencialidade, a autenticidade dos ativos de informação e dados pessoais geridos, custodiados ou tratados pelo Ministério.
Art. 115. É vedada a divulgação de informações produzidas por usuários e terceiros para uso exclusivo do Ministério, em quaisquer outros projetos ou atividades de uso diverso daquele estabelecido pelo Ministério.
Art. 116. Os ativos de informação devem ser utilizados estritamente dentro do seu propósito, sendo vedado seu uso para fins indevidos.
§ 1º Serão considerados para fins indevidos, dentre outros:
a) cometer fraudes;
b) invadir os ativos de informação;
c) utilizar os ativos de informação para fins particulares ou de terceiros;
d) utilizar jogos;
e) realizar downloads, instalar e usar sistemas não homologados ou não autorizados pelo Ministério;
f) realizar acessos não autorizados;
g) fazer uso de personificação;
h) utilizar de falsa identidade;
i) obter senhas e dados privativos;
j) realizar perseguição;
k) realizar ameaças;
l) distribuir códigos maliciosos;
m) acessar, guardar e disseminar material não ético, ofensivo, difamatório, discriminatório, preconceituoso, malicioso, obsceno, ilegal ou atentatório à moral e aos bons costumes;
n) instalar softwares piratas;
o) utilizar práticas em desacordo com o Código de Conduta Ética do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome; e
p) disseminar conteúdos ilegais de incitação à violência, que não respeitem os direitos autorais ou objetivos comerciais particulares.
CAPÍTULO VIII
DO PLANO DE INVESTIMENTOS EM SEGURANÇA DA INFORMAÇÃO DO MINISTÉRIO DO DESENVOLVIMENTO E ASSISTÊNCIA SOCIAL, FAMÍLIA E COMBATE À FOME
Art. 117. Os investimentos em Segurança da Informação serão realizados de forma planejada e consolidados por meio de um plano de investimentos.
Art. 118. O plano de investimentos será elaborado com base na priorização dos riscos a serem tratados e será obtido a partir da aplicação de método que considere, no mínimo, a probabilidade e o impacto do risco.
Art. 119. O plano de investimentos, assim como a correspondente proposta orçamentária, será aprovado pelo Comitê Interno de Governança do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome, mediante recomendação elaborada pela Estrutura de Governança e Gestão de Segurança da Informação.
Art. 120. Caso a dotação concedida na Lei Orçamentária Anual (LOA) seja inferior à solicitada na proposta orçamentária, ou haja limitação na execução orçamentária, caberá ao Comitê Interno de Governança deste Ministério realizar a correspondente revisão do plano de investimentos.
CAPÍTULO IX
DA POLÍTICA DE ATUALIZAÇÃO
Art. 121. A periodicidade máxima para a revisão da Política de Segurança da Informação e dos respectivos instrumentos normativos não deve exceder 4 (quatro) anos.
CAPÍTULO X
DAS DISPOSIÇÕES FINAIS
Art. 122. A Política de Segurança da Informação e os documentos dela derivados devem ser revisados sempre que mudanças significativas na estrutura do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome ocorrerem ou quando alterações em normas e outras políticas forem aprovadas, ou ainda periodicamente, conforme legislação vigente, sendo atualizados quando necessário.
Art. 123. A Política de Segurança da Informação, as normas complementares e os procedimentos de Segurança da Informação a ela associados deverão ser amplamente divulgados.
Art. 124. Exceções à Política de Segurança da Informação devem sempre ser documentadas e ter aprovação do Gestor de Segurança da Informação.
Art. 125. O Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome deve considerar as diretrizes do Governo Federal, representado pelo Gabinete de Segurança Institucional da Presidência da República, que recomenda a implantação no âmbito de cada órgão da Administração Pública Federal, de processos e de metodologias de Segurança da Informação, bem como leis, normas, recomendações que regem o tratamento de informações, dados pessoais, processos, pessoas e tecnologias.
Art. 126. Fica instituído o Sistema de Gestão de Segurança da Informação, composto por políticas, procedimentos, diretrizes, recursos e atividades associados, de forma a proteger os ativos de informação do Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome.
CAPÍTULO XI
DAS REFERÊNCIAS LEGAIS E NORMATIVAS
Art. 127. A Política de Segurança da Informação está em consonância, entre outros, com os seguintes atos normativos:
I – Lei nº 8.112, de 11 de dezembro de 1990, que dispõe sobre o regime jurídico dos servidores públicos civis da União, das autarquias e das fundações públicas federais;
II – Lei nº 8.159, de 8 de janeiro de 1991, que dispõe sobre a Política Nacional de Arquivos Públicos e Privados e dá outras providências;
III – Lei nº 12.527, de 18 de novembro de 2011, que regulamenta o acesso às informações públicas;
IV – Lei nº 12.965, de 23 de abril de 2014, que estabelece princípios, garantias, direitos e deveres para uso da Internet no Brasil;
V – Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais;
VI – Lei nº 13.853, de 8 de julho de 2019, que altera a Lei nº 13.709, de 14 de agosto de 2018, para dispor sobre a proteção de dados pessoais e para criar a Autoridade Nacional de Proteção de Dados; e dá outras providências;
VII – Decreto nº 1.171, de 22 de junho de 1994, que aprova o Código de Ética Profissional do Servidor Público Civil do Poder Executivo Federal;
VIII – Decreto nº 4.073, de 3 de janeiro de 2002, que regulamenta a Lei nº 8.159, de 8 de janeiro de 1991, que dispõe sobre a política nacional de arquivos públicos e privados;
IX – Decreto nº 7.579, de 11 de outubro de 2011, que dispõe sobre o Sistema de Administração dos Recursos de Tecnologia da Informação –SISP, do Poder Executivo Fe d e r a l;
X – Decreto nº 7.724, de 16 de maio de 2012, que regulamenta a Lei nº 12.527 de 18 de novembro de 2011;
XI – Decreto nº 7.845, de 14 de novembro de 2012, que regulamenta procedimentos para credenciamento de segurança e tratamento de informação classificada em qualquer grau de sigilo, e dispõe sobre o Núcleo de Segurança e Credenciamento;
XII – Decreto nº 9.637, de 26 de dezembro de 2018, que institui a Política Nacional de Segurança da Informação nos órgãos e entidades da Administração Pública Fe d e r a l;
XIII – Decreto nº 10.222, de 5 de fevereiro de 2020, que aprova a Estratégia Nacional de Segurança Cibernética – E-Ciber é orientação manifesta do Governo federal à sociedade brasileira sobre as principais ações por ele pretendidas, em termos . nacionais e internacionais, na área da segurança cibernética e terá validade no quadriênio 2020-2023;
XIV – Decreto nº 10.332, de 28 de abril de 2020, que institui a Estratégia de Governo Digital para o período de 2020 a 2023, no âmbito dos órgãos e das entidades da administração pública federal direta, autárquica e fundacional e dá outras providências;
XV – Decreto nº 10.641, de 2 de março de 2021, que altera o Decreto nº 9.637, de 26 de dezembro de 2018, que institui a Política Nacional de Segurança da Informação, dispõe sobre a governança da segurança da informação, e altera o Decreto nº 2.295, de 4 de agosto de 1997, que regulamenta o disposto no artigo 24, caput, inciso IX, da Lei nº 8.666, de 21 de junho de 1993, e dispõe sobre a dispensa de licitação nos casos que possam comprometer a segurança nacional;
XVI – Decreto nº 10.748, de 16 de Julho de 2021, que institui a Rede Federal de Gestão de Incidentes Cibernéticos;
XVII – Decreto nº 11.529, de 16 de maio de 2023, que institui o Sistema de Integridade, Transparência e Acesso à Informação da Administração Pública Federal e a Política de Transparência e Acesso à Informação da Administração Pública Federal;
XVII – Portaria GSI/PR nº 93, de 18 de outubro de 2021, que aprova o Glossário de Segurança da Informação;
XIX – Portaria GSI/PR nº 120, de 21 de dezembro de 2022, que aprova o Plano de Gestão de Incidentes Cibernéticos para a administração pública federal;
XX – Instrução Normativa GSI nº 1 – 27 de maio de 2020, que dispõe sobre a Estrutura de Gestão da Segurança da Informação nos órgãos e nas entidades da administração pública federal;
XXI – Instrução Normativa GSI nº 2 – 24 de julho de 2020, que altera a Instrução Normativa nº 1, de 27 de maio de 2020, que dispõe sobre a Estrutura de Gestão da Segurança da Informação nos órgãos e nas entidades da administração pública federal;
XXII – Instrução Normativa GSI/PR nº 2, de 5 de fevereiro de 2013, que dispõe sobre o credenciamento de segurança para o tratamento de informação classificada, em qualquer grau de sigilo, no âmbito do Poder Executivo Federal;
XXIII – Instrução Normativa GSI/PR nº 3, de 28 de maio de 2021, que dispõe sobre os processos relacionados à gestão de segurança da informação nos órgãos e nas entidades da administração pública federal;
XXIV – Instrução Normativa GSI nº 3, de 6 de março de 2013, que dispõe sobre os parâmetros e padrões mínimos dos recursos criptográficos baseados em algoritmos de Estado para criptografia da informação classificada no âmbito do Poder Executivo Fe d e r a l;
XXV – Instrução Normativa GSI nº 4, de 26 de março de 2020, que dispõe sobre os requisitos mínimos de Segurança Cibernética que devem ser adotados no estabelecimento das redes 5G;
XXVI – Instrução Normativa GSI nº 5, de 30 de agosto de 2021, que dispõe sobre os requisitos mínimos de segurança da informação para utilização de soluções de computação em nuvem pelos órgãos e pelas entidades da administração pública federal;
XXVII – Instrução Normativa GSI nº 6, de 23 de dezembro de 2021, que estabelece diretrizes de segurança da informação para o uso seguro de mídias sociais nos órgãos e nas entidades da administração pública federal;
XXVIII – Instrução Normativa GSI nº 7, de 29 de novembro de 2022, que altera a Instrução Normativa nº 1, de 27 de maio de 2020, do Gabinete de Segurança Institucional da Presidência da República; a Instrução Normativa GSI/PR nº 3, de 28 de maio de 2021; e a Instrução Normativa nº 6, de 23 de dezembro de 2021, do Gabinete de Segurança Institucional da Presidência da República;
XXIX – Norma ABNT NBR ISO/IEC 27001:2022: Segurança da informação, segurança cibernética e proteção à privacidade – Sistemas de gestão da segurança da informação – Requisitos;
XXX – Norma ABNT NBR ISO/IEC 27002:2022: Segurança da informação, segurança cibernética e proteção à privacidade – Controles de segurança da informação;
XXXI – Norma ABNT NBR ISO/IEC 27005:2023: Segurança da informação, segurança cibernética e proteção à privacidade – Orientações para gestão de riscos de segurança da informação; e XXXII – Governo Digital. Guias Operacionais para adequação à Lei Geral de Proteção de Dados. Disponível em https://www.gov.br/governodigital/pt-br/governancade-dados/guias-operacionais-para-adequacao-a-lgpd. Acesso em 26 de maio de 2021.
Art. 128. Ficam revogadas:
I – a Portaria nº 126, de 5 de novembro de 2013, do Ministério do Desenvolvimento Social e Combate à Fome;
II – a Portaria nº 224, de 31 de julho de 2012, da Secretaria-Executiva do Ministério do Desenvolvimento Social e Combate à Fome;
III – a Portaria nº 772, de 25 de setembro de 2018, da Secretaria-Executiva do Ministério do Desenvolvimento Social; e
IV – a Portaria nº 773, de 25 de setembro de 2018, da Secretaria-Executiva do Ministério do Desenvolvimento Social.
Art. 129. Esta Portaria entra em vigor em 1º de dezembro de 2023.
JOSÉ WELLINGTON BARROSO DE ARAÚJO DIAS
ANEXO I
(exclusivo para assinantes)