Institui a Política de Segurança da Informação – POSIN no âmbito do Ministério dos Transportes – MT, e dá outras providências.
O MINISTRO DE ESTADO DOS TRANSPORTES, no uso das atribuições que lhe confere o art. 87, parágrafo único, incisos I e II, da Constituição Federal, o Decreto nº 11.360, de 1º de janeiro de 2023, o art. 2º do Decreto nº 12.198, de 24 de setembro de 2024, e
Considerando o disposto no inciso III do art. 3º do Decreto nº 7.579, de 11 de outubro de 2011, na Instrução Normativa GSI/PR nº 1, de 27 de maio de 2020, e no processo nº 50000.015604/2024-12, resolve:
Art. 1º Fica instituída a Política de Segurança da Informação – POSIN no âmbito do Ministério dos Transportes, que dispõe sobre as medidas para assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação nos ambientes convencionais e de tecnologia da informação do MT.
Parágrafo único. Os conceitos e definições utilizados na POSIN se encontram no Anexo I desta Portaria.
CAPÍTULO I
DAS DISPOSIÇÕES GERAIS
Art. 2º Para os fins do disposto nesta Portaria, conforme o art. 2º do Decreto nº 9.637, de 26 de dezembro de 2018, a segurança da informação abrange:
I – defesa cibernética;
II – segurança física e a proteção de dados organizacionais; e
III – as ações destinadas a assegurar a disponibilidade, a integridade e a autenticidade da informação, bem como sua confidencialidade, quando exigível.
CAPÍTULO II
DOS PRINCÍPIOS
Art. 3º A POSIN deverá orientar a promoção de uma cultura organizacional de uso dos recursos de Tecnologia da Informação e Comunicação – TIC, norteada pelos princípios da legalidade, publicidade, disponibilidade, integridade, autenticidade, segurança, privacidade, confidencialidade e ética.
Art. 4º As ações e iniciativas relacionadas com a POSIN deverão também observar os seguintes critérios:
I – prevalência da soberania nacional;
II – submissão às regras de conformidade legal e normativa dos procedimentos relacionados à segurança da informação e das comunicações;
III – utilização dos recursos de tecnologia da informação e comunicações estritamente para seu propósito institucional;
IV – integração aos objetivos estratégicos, processos de gestão, de planejamento e de execução do Ministério;
V – proteção de dados pessoais, a proteção da privacidade e acesso à informação sigilosa limitado a situações de necessidade do usuário, nos termos da legislação;
VI – intercâmbio científico e tecnológico relacionado à segurança da informação, entre os órgãos e as entidades da administração pública federal;
VII – articulação entre as ações de segurança cibernética, de defesa cibernética e de proteção de dados e ativos da informação;
VIII – cooperação entre os órgãos de investigação e os órgãos e as entidades públicas no processo de credenciamento de pessoas para acesso às informações sigilosas;
IX – integração e cooperação entre o poder público, o setor empresarial, a sociedade e as instituições acadêmicas;
X – cooperação internacional, no campo da segurança da informação;
XI – responsabilidade de todos do MT no tratamento da informação e no cumprimento das normas de segurança da informação;
XII – ciência por todos agentes públicos e colaboradores do MT das normas de segurança da informação, para o pleno desempenho de suas atribuições;
XIII – proporcionalidade do custo das ações de segurança da informação não devendo ser maior do que o valor do ativo da informação a ser protegido, salvo os casos formalmente analisados e justificados durante o processo de gestão de riscos de segurança da informação;
XIV – publicidade e transparência no trato das informações, observados os critérios legais e normativos vigentes aplicáveis ao MT;
XV – celeridade das ações de segurança da informação devendo oferecer respostas rápidas a incidentes e falhas; e
XVI – clareza das regras de segurança da informação que devem ser precisas, concisas e de fácil entendimento.
CAPÍTULO III
DAS DIRETRIZES E NORMAS INTERNAS DE SEGURANÇA DA INFORMAÇÃO
Seção I
Diretrizes Gerais
Art. 5º Para cada uma das diretrizes constantes das seções deste capítulo poderão ser elaboradas normas internas de segurança da informação, com procedimentos e orientações complementares à presente portaria, podendo ainda disciplinar outros temas de segurança da informação e comunicações, tais como:
I – modelos de gestão da informação;
II – gerenciamento de riscos;
III – tratamento de incidentes de segurança e incidentes cibernéticos;
IV – gestão de continuidade de serviços;
V – acesso a informações, áreas, instalações e sistemas de informação; e
VI – programas e ações de conscientização e educação em segurança da informação.
Art. 6º O uso e o compartilhamento de dados, informações e documentos no âmbito do Ministério dos Transportes, em todo o seu ciclo de vida, visam à continuidade de seus processos em conformidade com as normas vigentes, obrigações contratuais ou congêneres, princípios da POSIN e as melhores práticas de segurança da informação.
Parágrafo único. O ciclo de vida a que se refere o caput deste artigo diz respeito às fases de criação, tratamento, uso, armazenamento, divulgação e descarte da informação, conforme legislação específica.
Art. 7º Visando alcançar a abrangência definida no art. 3º, toda e qualquer informação gerada, adquirida, utilizada ou armazenada pelo Ministério dos Transportes é considerada ativo de informação e faz parte do seu patrimônio.
Seção II
Do Tratamento da Informação
Art. 8º Todo ativo de informação criado, adquirido ou custodiado no âmbito do Ministério dos Transportes deverá ser protegido contra ameaças, ataques, incidentes e outras formas de comprometimento à segurança da informação, com o objetivo de minimizar riscos, sem prejuízo da transparência ao cidadão.
Art. 9º O tratamento de informações classificadas na forma dos arts. 25 a 30 do Decreto nº 7.724, de 16 de maio de 2012, somente poderá ser realizado por pessoa devidamente credenciada na forma do Decreto nº 7.845, de 14 de novembro de 2012, após os devidos procedimentos de classificação pela autoridade competente, na forma do art. 31 do Decreto nº 7.724, de 2012.
Art. 10. É expressamente proibido o uso dos meios e recursos de tecnologia da informação disponibilizados pelo Ministério dos Transportes para acesso, guarda ou encaminhamento de material discriminatório, malicioso, antiético ou ilegal.
Art. 11. As senhas utilizadas em sistemas do Ministério dos Transportes deverão ser criptografadas para proteção contra acesso indevido ou vazamento.
Art. 12. O tratamento de dados pessoais obedecerá ao disposto na lei nº 13.709, de 14 de agosto de 2018 – Lei Geral de Proteção de Dados Pessoais – LGPD.
Seção III
Da Segurança Física dos Equipamentos
Art. 13. Os equipamentos e as áreas destinadas ao processamento de informações deverão ser protegidos contra acesso indevido, danos e interferências não autorizadas.
Art. 14. A unidade responsável pela segurança organizacional e corporativa do Ministério dos Transportes deverá implementar perímetros de segurança a fim de garantir proteção e separação entre ambientes internos e externos.
Art. 15. As áreas seguras serão protegidas por controles apropriados de registro e autorização de entrada para assegurar que somente pessoas autorizadas tenham acesso.
Art. 16. As áreas seguras controladas pelo Ministério dos Transportes possuirão procedimentos adequados de proteção, bem como diretrizes que orientem o trabalho no seu interior, a ser definidos em norma interna de segurança da informação desta Pasta.
Seção IV
Do Uso de Ativos de Informação
Art. 17. Os ativos da informação, sistemas e bancos de dados do Ministério dos Transportes deverão ser protegidos contra indisponibilidade, acessos indevidos, ameaças, ataques, alterações, falhas, perdas, danos, furtos, roubos, interrupções não programadas e outros incidentes de segurança.
Art. 18. Os ativos de informação deverão ser inventariados e mapeados a fim de produzir subsídios para a Gestão de Segurança da Informação, Gestão de Riscos de Segurança da Informação, Gestão de Continuidade de Negócios, bem como para os procedimentos de avaliação da conformidade, de melhorias contínuas e de auditoria.
Art. 19. O processo de inventário e mapeamento de ativos de informação deve ser dinâmico, periódico e estruturado para manter a Base de Dados de Ativos de Informação atualizada para prover informações para o desenvolvimento de ações e planos de aperfeiçoamento de práticas de Gestão da Segurança da Informação no âmbito do Ministério dos Transportes.
Art. 20. Os ativos de informação deverão ser disponibilizados pela unidade organizacional de tecnologia da informação do Ministério dos Transportes, somente para usuários de informação cadastrados, mediante a utilização de credenciais individuais e intransferíveis, concedidas conforme solicitação da chefia imediata.
Parágrafo único. Norma interna de segurança da informação disporá sobre:
I – autorização de acesso a sistemas e redes;
II – criação, administração e extinção de contas de usuários;
III – identificação e credenciamento de usuários de informação com acesso a ativos de informação do Ministério; e
IV – gestão de acessos a áreas e instalações de tecnologia da informação e de tratamento de informações.
Art. 21. Somente será autorizado o uso de equipamento pessoal em áreas e sistemas do Ministério após a implementação de soluções de segurança da informação com padrões que atendam à Política de Segurança da Informação do Ministério dos Transportes e suas normas e procedimentos complementares em vigor.
Art. 22. Toda a informação que trafega pelos ativos de informação poderá ser monitorada de acordo com as necessidades de segurança da informação estabelecidas em norma interna de segurança da informação do Ministério dos Transportes, conforme diretrizes desta portaria e respeitada a legislação vigente.
Art. 23. Em caso de desligamento ou impedimento de um agente público que tenha executado atividades no Ministério dos Transportes, sua chefia imediata poderá requisitar a recuperação de informações armazenadas em ativos de informação que estejam sob a guarda da instituição, com a finalidade de continuidade das atividades realizadas pelo agente público no interesse institucional.
Art. 24. Serão estabelecidos processos permanentes de conscientização, capacitação e sensibilização em segurança da informação, que alcancem todos os agentes públicos que executem atividades no Ministério dos Transportes, de acordo com suas competências funcionais.
Seção V
Do Uso do Acesso à Internet
Art. 25. A concessão de acesso à internet em ambiente laboral no Ministério dos Transportes será disponibilizada como ferramenta de trabalho destinada ao atendimento das finalidades institucionais do órgão.
Parágrafo único. Norma interna de Segurança da Informação poderá estabelecer procedimentos específicos para coibir o uso abusivo do acesso à internet no Ministério dos Transportes, com medidas e orientações aos proprietários e usuários de informação.
Art. 26. O uso da internet no Ministério dos Transportes será monitorado e os acessos serão registrados em dispositivo ou sistema computacional que assegure a possibilidade de rastreio e apuração de responsabilidades em caso de incidentes cibernéticos, incidentes de segurança e outras violações a esta Política de Segurança da Informação.
Parágrafo único. Para apuração das quebras de segurança de que trata o caput, os ativos de informação fornecidos pelo Ministério dos Transportes poderão ser analisados, a qualquer tempo, pela Equipe de Prevenção e Tratamento e Resposta a Incidentes Cibernéticos do Ministério.
Art. 27. Os agentes públicos encarregados das ações de comunicação digital e demais formas de comunicação pública, gestão documental e de ativos de informação do Ministério dos Transportes que trafeguem pela internet são considerados custodiantes de informação.Seção VI Do Serviço de Backup
Art. 28. Os procedimentos de backup deverão ser fixados por norma interna de segurança da informação do Ministério dos Transportes.
§ 1º O serviço de backup deverá ser automatizado por sistemas informacionais próprios, considerando, inclusive, a execução agendada fora do horário de expediente.
§ 2º A solução de backup deverá ser mantida sempre atualizada, considerando suas diversas características, tais como atualizações de correção, novas versões, ciclo de vida, garantia, melhorias, entre outros.
§ 3º Na inviabilidade de armazenamento de backup em nuvem, as mídias de backups deverão ser armazenadas em instalações seguras, objetivando manter a sua segurança e integridade.
§ 4º A execução de rotinas de backup e de recuperação deverá ser rigidamente controlada, documentada e auditada, conforme norma interna de segurança da informação do Ministério dos Transportes.
Seção VII
Da Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação
Art. 29. A aquisição, manutenção e desenvolvimento de sistemas de informação deverão observar os padrões, critérios e controles de segurança estabelecidos nesta portaria, sem prejuízo das normas estabelecidas pelo órgão central do Sistema de Administração dos Recursos de Tecnologia da Informação – SISP – de que trata o Decreto nº 7.579, de 11 de outubro de 2011.
Art. 30. Os editais de licitação e contratos de solução de tecnologia da informação com o Ministério dos Transportes deverão conter cláusula específica sobre:
I – a obrigatoriedade de atendimento a Política de Segurança da Informação do Ministério dos Transportes e
II – a exigência de assinatura de termo de responsabilidade e termo de confidencialidade, na forma do Anexo II e III desta Portaria.
Art. 31. Sem prejuízo de outras atividades previstas no art. 3º do Decreto nº 9.507, de 21 de setembro de 2018, não são passíveis de contratação e execução indireta as atividades de:
I – gestão de segurança da informação e
II – gestão de riscos em segurança da informação.
Seção VII
Do Uso de Computação em Nuvem
Art. 32. A implementação ou contratação de computação em nuvem deverá estar em conformidade com as diretrizes desta POSIN e com a legislação sobre contratação vigente na Administração Pública Federal.
§ 1º O uso de recursos de computação em nuvem para suprir demandas de transferência e armazenamento de documentos, processamento de dados, aplicações, sistemas e demais tecnologias da informação será regido por norma interna de segurança da informação que deverá ser instituída pela unidade responsável pelos ativos de tecnologia e atenderá às determinações desta POSIN.
§ 2º Fica vedado o uso de recurso de computação em nuvem não disponibilizado pelo Ministério dos Transportes para o armazenamento de ativo de informação institucional.
Art. 33. O Uso da computação em nuvem deverá promover:
I – melhorias no ambiente computacional do Ministério dos Transportes;
II – facilidade e agilidade na implementação;
III – diminuição de vulnerabilidades pela atualização constante de aplicações defasadas;
IV – possibilidade de integração à outras soluções;
V – melhoria da gestão da segurança da informação; e
VI – redução de custos.
Seção IX
Do Uso de Dispositivos Móveis
Art. 34. O uso de dispositivos móveis institucionais e demais dispositivos móveis para acesso aos ativos de informação do Ministério dos Transportes, deverá ser controlado com a implementação de mecanismos de autenticação, autorização e registro de acesso, a serem previstos detalhadamente em norma interna de segurança da informação.
Seção X
Da Gestão de Vulnerabilidades Técnicas
Art. 35. A gestão de vulnerabilidades técnicas será implementada com vistas a prevenir a exploração de vulnerabilidades na rede corporativa do Ministério dos Transportes, e será implementada por ações sistemáticas de identificação, classificação e tratamento das vulnerabilidades, podendo ser regulamentada por norma interna de segurança da informação.
Art. 36. O processo de gestão de vulnerabilidades técnicas disponibilizará à alta administração e ao Comitê de Governança Digital e Segurança da Informação, sempre que solicitado, as informações sobre vulnerabilidades referentes aos ativos de informação e de sistemas informatizados do ministério, de forma a permitir a eficaz detecção e remediação de vulnerabilidades no menor tempo possível.
Art. 37. O inventário completo e atualizado dos ativos de informação é prérequisito para o efetivo processo de gestão de vulnerabilidades técnicas e deverá identificar, no mínimo, os ativos de hardware, software, serviços em nuvem e o respectivo responsável pela sua gestão.
Seção XI
Da Gestão de Continuidade de Serviços em Segurança da Informação
Art. 38. O Ministério dos Transportes deverá manter processo de Gestão de Continuidade de Serviços em Segurança da Informação que forneça estrutura para assegurar a continuidade das atividades do ministério em casos de ameaças, ataques, incidentes de segurança e, em caso de interrupção, assegurar a sua retomada no menor tempo possível.
Art. 39. Os ativos de informação de propriedade ou custodiados pelo Ministério dos Transportes, quando armazenados em meio eletrônico, deverão ser providos de cópia de segurança atualizada e guardada em local seguro, de forma a garantir a continuidade das atividades do órgão.
Art. 40. Deverá ser elaborado um Plano de Continuidade de Serviços em Segurança da Informação que contenha os procedimentos e as informações necessárias para que o Ministério dos Transportes mantenha seus ativos de informação e a continuidade de suas atividades em local alternativo, em caso de incidente de segurança.
Parágrafo único. O Plano de Continuidade de Serviços em Segurança da Informação será elaborado pelo Gestor de Segurança da Informação e deverá ser testado e revisado periodicamente, de forma a se manter atualizado para responder às ameaças identificadas.
Seção XII
Da Auditoria e Conformidade
Art. 41. O Ministério dos Transportes deverá criar e manter registros e procedimentos, como trilhas de auditoria, que possibilitem o rastreamento, o acompanhamento, o controle e a verificação de acessos aos seus sistemas corporativos e à sua rede interna.
Art. 42. Deverá ser realizada, com periodicidade mínima anual, a verificação de conformidade das práticas de Segurança da Informação aplicadas no Ministério dos Transportes com esta POSIN, bem como com as normas elaboradas pelo Gabinete de Segurança Institucional da Presidência da República, na forma do art. 12 do Decreto nº 9.637, de 2018.
§ 1º A verificação de conformidade também deverá ser realizada nos contratos, convênios, acordos de cooperação e outros instrumentos de parceria firmados pelo Ministério dos Transportes.
§ 2º A verificação de conformidade poderá combinar ampla variedade de técnicas, tais como análise de documentos, análise de registros (logs), análise de códigofonte, entrevistas, simulação de intrusão e testes de invasão.
§ 3º Os resultados de cada ação de verificação de conformidade serão documentados em Relatório de Avaliação de Conformidade a ser elaborado pelo Gestor de Segurança da Informação.
Art. 43. Os procedimentos e as metodologias utilizados na auditoria e conformidade serão definidos em norma interna de segurança da informação do Ministério dos Transportes.
Art. 44. Todo e qualquer ativo de informação que assim o permita deve ser configurado para armazenar registros históricos de eventos (Logs) em formato que permita a completa identificação dos fluxos de dados e das operações de seus utilizadores ou administradores.
§ 1º Os registros devem ser armazenados, sempre que possível, pelo período mínimo de seis meses, sem prejuízo de outros prazos previstos em normativos específicos.
§ 2º Os ativos de informação devem ser configurados de forma a armazenar seus registros de auditoria não apenas localmente, como também remotamente, por meio de tecnologia aplicável.
Seção XIII
Do Controle de Acesso
Art. 45. O controle de acesso à informação tem por objetivo garantir que o acesso físico e lógico à informação seja franqueado exclusivamente a pessoas autorizadas, com base nos requisitos de negócio e de segurança da informação.
§ 1º A informação é um patrimônio do órgão responsável pela sua produção e o seu acesso não garante direito sobre ela, assim como não confere autoridade para liberar o acesso a outros.
§ 2º O acesso à informação é regulamentado por normas específicas e a confidencialidade dessa informação deve ser mantida durante todo o processo de uso, podendo ter níveis diferentes ao longo da sua vida útil.
§ 3º As credenciais de acesso (login e senha) são pessoais e intransferíveis e os recursos computacionais deverão ser utilizados em conformidade com regulamento especifico.
§ 4º Todos os controles de acesso deverão estar de acordo com a Lei Geral de Proteção de Dados Pessoais – LGPD, Lei nº 13.709, de 14 de agosto de 2018.
§ 5º Esta política deve estar alinhada com o Programa de Governança em Privacidade a ser instituída no âmbito do Ministério, de acordo com o art. 50 da Lei nº 13.709, de 14 de agosto de 2018, que será definido pelo Ministério.
CAPÍTULO IV
DAS COMPETÊNCIAS
Art. 46. A estrutura de Gestão de Segurança da Informação no Ministério dos Transportes será composta pelo Gestor de Segurança da Informação e pelo Comitê de Governança Digital e Segurança da Informação.
Seção I
Do Comitê de Governança Digital e Segurança da informação
Art. 47. Ao Comitê de Governança Digital e Segurança da Informação, instituído na forma do art. 15, inciso IV, do Decreto nº 9.637, de 2018, e do art. 2º do Decreto nº 10.332, de 28 de abril de 2020, compete:
I – supervisionar a implementação das ações de segurança da informação e de governo digital no âmbito do ministério;
II – propor normas internas de segurança da informação, bem como alterações na POSIN;
III – deliberar sobre a implementação da Estratégia de Governo Digital e seus instrumentos no âmbito do ministério e
IV – aprovar o Plano de Transformação Digital, o Plano Diretor de Tecnologia da Informação e Comunicação e o Plano de Dados Abertos do ministério.
§ 1º Para o cumprimento de suas atribuições, o comitê poderá constituir grupos de trabalho, por prazo determinado, para tratar de temas específicos, mediante designação de seu coordenador.
§ 2º O Comitê de Governança Digital e Segurança da Informação será composto por membros na seguinte composição:
I – O Subsecretário de Gestão Estratégica, Tecnologia e Inovação, representante da Secretaria-Executiva e que o coordenará;
II – O Coordenador-Geral de Governança e Controladoria de TIC, representante da Subsecretaria de Gestão Estratégica, Tecnologia e Inovação;
III – Um representante da Secretaria Nacional de Transporte Rodoviário;
IV – Um representante da Secretaria Nacional de Transporte Ferroviário;
V – Um representante da Secretaria Nacional de Trânsito;
VI – O Ouvidor, encarregado do tratamentos de dados pessoais de que trata a Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais – LGPD); e
VII – O Coordenador-Geral de Entrega de Serviços de Tecnologia, como Gestor de Segurança da Informação.
§ 3º Os substitutos dos membros integrantes do Comitê de Governança Digital e Segurança da Informação deverão substituir os titulares em seus afastamentos e impedimentos legais, sendo eles:
I – O Coordenador-Geral de Governança e Controladoria de TIC, representante da Secretaria Executiva, substituto;
II – O Coordenador-Geral de Inovação e Transformação de Serviços, representante da Subsecretaria de Gestão Estratégica, Tecnologia e Inovação.
III – O substituto legal do representante da Secretaria Nacional de Transporte Rodoviário;
IV – O substituto legal do representante da Secretaria Nacional de Transporte Ferroviário;
V – O substituto legal do representante da Secretaria Nacional de Trânsito;
VI – O substituto legal do Ouvidor, encarregado do tratamento de dados pessoais substituto; e
VII – O Chefe da Divisão de Operações, na qualidade de Gestor de Segurança da Informação substituto.
§ 4º O comitê reunir-se-á em reuniões ordinárias trimestrais ou em reuniões extraordinárias convocadas por seu coordenador, com antecedência mínima de dois dias úteis.
§ 5º As deliberações do comitê serão tomadas por maioria absoluta e lavradas em ata assinada por todos os presentes, cabendo ao seu coordenador expedir suas resoluções. Seção II Do Gestor de Segurança da informação
Art. 48. O Gestor de Segurança da Informação será servidor ocupante de cargo efetivo, com formação ou capacitação técnica na área de segurança da informação, competindo-lhe:
I – planejar, coordenar, supervisionar, executar e controlar a execução das atividades de tecnologia da informação em conformidade com as diretrizes da POSIN;
II – definir estratégias para a implementação da POSIN e suas normas internas de segurança da informação;
III – supervisionar e analisar a efetividade dos processos, procedimentos, sistemas e dispositivos de segurança da informação;
IV – acompanhar as investigações e as avaliações dos danos decorrentes de quebras de segurança e adotar as medidas administrativas necessárias à aplicação de ações corretivas;
V – encaminhar às autoridades competentes para aplicação de penalidades os fatos apurados em incidentes de segurança ou incidentes cibernéticos que constituam violações administrativas, civis ou penais à POSIN;
VI – realizar a gestão de risco e demais atividades de gestão de segurança da informação;
VII – verificar se os procedimentos de segurança da informação estão sendo aplicados em conformidade com as legislações vigentes e normas internas de segurança da informação;
VIII – promover, com apoio da alta administração, a ampla divulgação da POSIN, das normas internas de segurança da informação e de suas atualizações, de forma ampla e acessível, a todos os usuários de informação e aos prestadores de serviço;
IX – propor recursos necessários às ações de segurança da informação e das comunicações;
X – acompanhar as atividades da Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos;
XI – promover e acompanhar estudos de novas tecnologias quanto a possíveis impactos na segurança da informação e comunicações;
XII – propor normas internas de segurança da informação e comunicações;
XIII – promover a melhoria contínua dos processos de gestão de segurança da informação e propor ajustes corretivos a serem incluídos nas revisões desta POSIN; e
XIV – propor conteúdo sobre segurança da informação, com vistas a facilitar a capacitação e a instrução dos servidores e colaboradores para a utilização de sistemas corporativos e acesso a informações nos níveis físico e lógico, em conformidade com as diretrizes da POSIN.
Seção III
Da Equipe de Prevenção, Tratamento e Resposta a Incidentes de Segurança
Art. 49. A Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos – ETIR será composta preferencialmente por servidores públicos ocupantes de cargo público efetivo e deverá contar com pessoal com capacitação técnica compatível e capaz de apoiar as atividades de prevenção, de tratamento e de resposta a incidentes cibernéticos.
Art. 50. A Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos – ETIR, instituída por Portaria deste Ministério, ficará responsável pela divulgação de práticas e recomendações de Segurança da Informação e pela avaliação das condições de segurança de rede por meio de verificações de conformidade, com o objetivo de evitar que ocorram incidentes de segurança.
Parágrafo único. A ETIR do Ministério dos Transportes integrará a Rede Federal de Gestão de Incidentes Cibernéticos, nos termos do Decreto nº 9.637, de 26 de dezembro de 2018, e sua atuação será orientada por normas e procedimentos técnicos estabelecidos pelo Centro de Prevenção e Tratamento e Resposta a Incidentes cibernéticos de governo, sem prejuízo das demais metodologias e procedimentos aprovados pelo Comitê de Governança Digital e Segurança da Informação do Ministério dos Transportes.
Art. 51. É obrigatória a publicação de documento de criação da ETIR, alinhado à presente POSIN e aos normativos, padrões e procedimentos técnicos exarados pelo CTIR Gov, e que deverá prever, entre outras, as seguintes atribuições:
I – monitorar o ambiente e recursos de TIC do Ministério, a fim de identificar possíveis incidentes de segurança da informação;
II – realizar a investigação do incidente de segurança da informação, propondo medidas de contenção;
III – assessorar o Gestor de Segurança da Informação – CGDSI na análise e tomada de decisões a respeito de situações resultantes de incidentes de segurança da informação;
IV – realizar a análise do incidente de segurança da informação, de forma a propor medidas para eliminar ou solucionar problemas que causaram o incidente;
V – recolher e preservar as evidências para subsidiar a forense digital;
VI – compor a rede de equipes formada pelos órgãos e entidades da administração pública federal, coordenada pelo Centro de Tratamento de Incidentes de Redes do Governo do Gabinete de Segurança Institucional da Presidência da República.
Art. 52. Os incidentes de segurança da informação devem ser, em conformidade com a Política de Respostas a Incidentes de Segurança da Informação, identificados, analisados, comunicados e tratados, em tempo hábil, de forma a impedir que evento adverso possa interferir na perfeita execução das atividades desenvolvidas pelo Ministério. Seção IV Da Alta administração e dos gestores
Art. 53. A alta administração deste Ministério é responsável por prover a orientação e o apoio necessários às ações de segurança da informação, de acordo com os objetivos estratégicos e com as leis e regulamentos pertinentes.
Art. 54. Compete à alta administração a governança da segurança da informação, de acordo com as previstas no art. 17, do Decreto nº 9.637, de 26 de dezembro de 2018, alterado pelo Decreto nº 10.641, de 2 de março de 2021.
Art. 55. É de responsabilidade dos demais gestores zelar pelo cumprimento das diretrizes desta Política no âmbito de suas áreas de atuação.
Art. 56. Os servidores, os colaboradores, os consultores externos, os estagiários e os prestadores de serviço são responsáveis por observar o disposto nesta Política e comunicar os incidentes que afetam a segurança dos ativos de informação à Equipe de Prevenção, Tratamento e Resposta à Incidentes de Segurança.
CAPÍTULO V
DAS RESPONSABILIDADES
Seção I
Do proprietário da Informação
Art. 57. O proprietário de informação é o responsável primário pela sua integridade, autenticidade, disponibilidade e, quando aplicável, por sua confidencialidade.
Art. 58. Ao proprietário de informação caberá:
I – comunicar ao Gestor de Segurança da Informação acerca do ingresso, da alteração de lotação ou localização, e do desligamento de servidor, estagiário, prestador de serviço ou colaborador em sua unidade organizacional; e
II – colher a assinatura do Termo de Responsabilidade disponível no Anexo II e do Termo de Confidencialidade disponível no Anexo III dos usuários de informação em sua unidade organizacional.
Seção II
Das Responsabilidades do Usuário de Informação
Art. 59. Ao Usuário de Informação caberá:
I – acessar a rede de dados do Ministério dos Transportes somente após tomar ciência desta POSIN e das normas internas de Segurança da Informação e assinar o termo do Anexo II ou III que lhe for cabível;
II – manter sigilo e trocar periodicamente a senha pessoal de acesso aos sistemas do ministério;
III – não usar a identificação de acesso e senha de terceiros;
IV – portar crachá de identificação de maneira visível ou uniforme, para os cargos que o exigirem, quando dentro das instalações do Ministério dos Transportes;
V – zelar pelos equipamentos e ativos de informação disponibilizados pelo ministério, os quais deverão ser preservados como patrimônio público;
VI – utilizar as informações digitais disponibilizadas e os sistemas e produtos computacionais de propriedade ou direito de uso do Ministério dos Transportes para o interesse do serviço;
VII – preservar o conteúdo das informações sigilosas a que tiver acesso, sem divulgá-las para pessoas não autorizadas ou que não tenham necessidade de conhecê-las;
VIII – não tentar obter acesso à informação cujo grau de sigilo não seja compatível com a sua Credencial de Segurança ou cujo teor não tenha autorização ou necessidade de conhecer;
IX – não utilizar o ambiente computacional do Ministério dos Transportes para acessar, transmitir, copiar ou reter conteúdo ou arquivos com textos, fotos, filmes ou quaisquer outros registros que estejam em desacordo com a legislação vigente e a LGPD;
X – não transferir qualquer tipo de arquivo que pertença ao Ministério dos Transportes para outro local, seja por meio magnético ou não, exceto no interesse do serviço e mediante autorização da autoridade competente;
XI – estar ciente de que o processamento, o trâmite e o armazenamento de arquivos que não sejam de interesse do serviço não serão permitidos na rede computacional do Ministério dos Transportes;
XII – preservar o sigilo das informações previamente classificadas a que eventualmente tenha acesso e abster-se de ter acesso àquelas para as quais não tenha a credencial de segurança compatível com o grau de sigilo;
XIII – estar ciente de que toda informação digital armazenada, processada e transmitida no ambiente computacional do Ministério dos Transportes poderá ser auditada;
XIV – estar ciente de que o e-mail institucional é de uso prioritário para o interesse do serviço, devendo ser evitado o seu uso para fins pessoais;
XV – informar prontamente ao proprietário de informação a que esteja diretamente subordinado qualquer fato em desacordo com a POSIN de que tenha ciência, bem como qualquer informação de cuja veracidade suspeite; e
XVI – no caso de exoneração, demissão, licença, término de prestação de serviço ou qualquer tipo de afastamento, preservar o sigilo das informações e documentos sigilosos a que eventualmente teve acesso.
Art. 60. O usuário de informação será responsável por eventuais prejuízos causados ao Ministério devido ao descumprimento das regras estabelecidas na POSIN e demais normas internas de segurança da informação, conforme a legislação vigente.
Seção III
Das Responsabilidades do Custodiante da Informação
Art. 61. Ao Custodiante da Informação caberá:
I – cumprir e zelar pela observância integral das diretrizes da POSIN e demais normas e procedimentos decorrentes;
II – zelar pela disponibilidade, integridade e autenticidade das informações e recursos em qualquer suporte sob sua custódia, bem como sua confidencialidade, quando cabível;
III – assinar o termo de responsabilidade de que trata o Anexo II desta portaria;
IV – proteger as informações contra acesso, modificação, destruição ou divulgação não autorizados;
V – preservar o sigilo das informações previamente classificadas a que eventualmente tenha acesso e abster-se de ter acesso àquelas para as quais não tenha a credencial de segurança compatível com o grau de sigilo;
VI – adotar as medidas de proteção necessárias para minimizar ou eliminar os riscos a que estão sujeitos os ativos de informação sob sua custódia; e
VII – comunicar imediatamente ao Proprietário da Informação e ao Gestor de Segurança da Informação sobre qualquer incidente que possa comprometer a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações sob sua custódia ou sobre qualquer fato em desacordo com a POSIN da qual tome conhecimento.
CAPÍTULO VI
DAS PENALIDADES
Art. 62. A violação das regras estabelecidas na POSIN ou suas normas internas de segurança, por qualquer pessoa física ou jurídica, acarretará as penalidades civis, penais e administrativas previstas na legislação, conforme o caso.
CAPÍTULO VII
DAS DISPOSIÇÕES FINAIS
Art. 63. Esta POSIN, suas normas internas de segurança e suas atualizações deverão ser divulgadas amplamente aos usuários de informações do Ministério dos Transportes.
Parágrafo único. A POSIN, bem como todas as normas dela decorrentes, deverão ser revisados e atualizados sempre que se fizer necessário, não excedendo o período máximo de quatro anos.
Art. 64. As unidades do Ministério dos Transportes poderão propor normas complementares a presente Política e submetê-las ao Comitê de Governança Digital e Segurança da Informação – CGDSI.
Parágrafo único. Serão analisadas, ad referendum, do Comitê de Governança Digital e Segurança da Informação – CGDSI do Ministério, as normas estabelecidas em caráter extraordinário pelas unidades, dando celeridade ao processo até que ocorra a deliberação em definitivo deste Comitê.
Art. 65. Os casos omissos e as dúvidas quanto a aplicação desta Portaria serão analisados, dirimidos ou solucionados pelo Comitê de Governança Digital e Segurança da Informação – CGDSI e obedecerão aos normativos estabelecidos pelo Gabinete de Segurança Institucional da Presidência da República – GSI/PR e demais normativos correlatos.
Art. 66. Esta Portaria entra em vigor na data de sua publicação.
JOSÉ RENAN VASCONCELOS CALHEIROS FILHO
ANEXO I
(exclusivo para assinantes)
ANEXO II
(exclusivo para assinantes)
ANEXO III
(exclusivo para assinantes)
Carrinho de compras