Notas:

1) Revogada pela Portaria MPS nº 355, de 05.11.2008, DOU 07.11.2008.

2) Ver Portaria MPS nº 1.369, de 03.08.2005, DOU 04.08.2005, que dispõe sobre o uso dos serviços de acesso à Internet e de Correio Eletrônico na Previdência Social.

3) Assim dispunha a Portaria revogada:

"O Ministro da Previdência Social, no uso de sua competência estabelecida no art. 87 da Constituição Federal e considerando o disposto no art. 23 da Lei nº 8.159, de 8 de janeiro de 1991, e o Decreto nº 4.553, de 27 de dezembro de 2002, resolve:

Art. 1º Estabelecer a Política de Segurança da Informação, conforme as diretrizes do Anexo, para orientação estratégica das ações de segurança a serem executadas pelos órgãos da Previdência Social.

Parágrafo único. Aplica-se esta Política, no que couber, também no relacionamento dos órgãos da Previdência Social com outros órgãos públicos ou entidades privadas.

Art. 2º Os objetivos das ações a serem implementadas com base nas diretrizes da Política de Segurança da Informação estabelecidas nesta Portaria são a salvaguarda dos dados, informações e materiais sigilosos de interesse da Previdência Social e do Estado brasileiro, bem como dos sistemas computacionais e das áreas e instalações onde tramitam, além da preservação da inviolabilidade e da intimidade da vida privada, da honra e da imagem das pessoas.

Art. 3º Os órgãos da Previdência Social, além das diretrizes estabelecidas no Anexo, deverão se orientar pelas melhores práticas e procedimentos de segurança da informação recomendados por órgãos e entidades públicas e privadas responsáveis pelo estabelecimento de padrões.

Art. 4º Os órgãos da Previdência Social deverão, com base nesta Política de Segurança da Informação, identificar as necessidades de normatização específica para segurança de seus processos e procedimentos operacionais e propor ao Comitê de Tecnologia e Informação (CTI/PS) a edição de respectivas Resoluções.

Parágrafo único. As Resoluções editadas pelo CTI/PS deverão ser cumpridas pelos servidores públicos, agentes públicos terceirizados, empregados, consultores, estagiários e demais colaboradores externos ou eventuais.

Art. 5º O Comitê de Tecnologia e Informação (CTI/PS) é o órgão competente para dirimir eventuais dúvidas e deliberar sobre assuntos relativos à aplicação da Política de Segurança da Informação da Previdência Social.

Art. 6º Revogam-se as disposições em contrário.

Art. 7º Esta Portaria entra em vigor na data de sua publicação.

AMIR LANDO

ANEXO
DIRETRIZES DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DA PREVIDÊNCIA SOCIAL

1. INTRODUÇÃO

Estas diretrizes definem, em nível estratégico, a Política de Segurança da Informação da Previdência Social, que visam preservar a disponibilidade, integridade e confidencialidade das informações da instituição. Este documento constitui um detalhamento do Plano Diretor de Tecnologia da Informação (PDTI) com orientações para ações de segurança da informação na organização, elaborado com base nos seguintes documentos:

a) Lei nº 8.159, de 8 de janeiro de 1991, que dispõe sobre a política nacional de arquivos públicos e privados ;

b) Lei nº 9.609, de 19 de fevereiro de 1998, que dispõe sobre a Proteção da Propriedade Intelectual do Programa de Computador;

c) Lei nº 9.610, de 19 de fevereiro de 1998, que altera, atualiza e consolida a legislação sobre direitos autorais;

d) Lei nº 9.983, de 14 de julho de 2000, que dispõe sobre a responsabilidade administrativa, civil e criminal de usuários que cometam irregularidades em razão do acesso a dados, informações e sistemas informatizados da Administração Pública;

e) Decreto nº 3.505, de 13 de junho de 2000, que institui a Política de Segurança da Informação nos órgãos e entidades da Administração Pública Federal;

f) Decreto nº 4.553, de 27 de dezembro de 2002, que dispõe sobre a salvaguarda de dados, informações, documentos e materiais sigilosos de interesse de segurança da sociedade e do Estado, no âmbito da Administração Pública Federal, e dá outras providências;

g) NBR/ISO/IEC 17799, que institui o código de melhores práticas para gestão de segurança da informação.

2. OBJETIVOS

Os objetivos precípuos desta Política de Segurança da Informação são o estabelecimento de orientações gerais de segurança da informação no âmbito dos órgãos da Previdência Social e o apoio conceitual na adoção de soluções integradas e específicas de segurança da informação adequadas às responsabilidades, funcionalidades e peculiaridades de cada um dos órgãos.

3. ESCOPO

Estas diretrizes se aplicam a todos os ambientes da Previdência Social e seus usuários e a todos os servidores, empregados e agentes públicos, inclusive terceirizados, consultores, estagiários e demais colaboradores externos ou eventuais dos órgãos.

4. CONCEITOS E DEFINIÇÕES

4.1 Confidencialidade: garantia de que a informação é acessível somente por pessoas autorizadas a terem acesso.

4.2 Classificação: processo que identifica informações de acordo com o seu valor, permitindo estabelecer o nível de segurança adequado para cada tipo de informação e decidir que controles e procedimentos são necessários para a seleção, tratamento, transmissão, armazenamento e descarte dessas informações.

4.3 Criticidade: grau de importância da informação para a continuidade dos negócios da Previdência Social (disponibilidade e integridade).

4.4 Disponibilidade: garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário.

4.5 Gestor: usuário que gerou a informação, que responde pelo seu conteúdo ou que foi formalmente designado para definir ou alterar a sua classificação nos graus de sigilo, criticidade e perfil de acesso dos demais usuários e processos.

4.6 Integridade: salvaguarda da exatidão e completeza da informação e dos métodos de processamento.

4.7 Ativo: além da própria informação, todo o recurso utilizado para o seu tratamento, tráfego e armazenamento.

4.8 Usuário: órgãos e servidores públicos, empregados, agentes públicos, consultores, estagiários, entidades não-governamentais e empresas privadas que utilizem, de forma autorizada, informações da Previdência Social.

4.9 Informação: conjunto de dados organizados de acordo com procedimentos executados por meios eletrônicos ou não, que possibilitam a realização de atividades específicas e/ou tomada de decisão.

4.10 Informação Confidencial: aquelas cujo conhecimento e divulgação possam ser prejudiciais ao interesse do País.

4.11 Informação Reservada: aquelas que não devam, imediatamente, ser do conhecimento do público em geral.

4.12 Informação Pública ou Ostensiva: aquelas cujo acesso é irrestrito, disponível para divulgação pública através de canais autorizados pela entidade gestora.

4.13 Segurança da Informação: preservação da confidencialidade, integridade e disponibilidade da informação.

5. DIRETRIZES DE SEGURANÇA

5.1 A segurança é direcionada contra destruição, modificação ou divulgação indevida das informações, quer acidental ou intencional, e no impedimento de fraudes.

5.2 A informação deve ser tratada como um patrimônio, devendo ser protegida no acesso, tráfego, uso e armazenamento, de acordo com sua classificação em graus de confidencialidade e criticidade.

5.3 Toda informação deve ter uma classificação que defina seu grau de confidencialidade e criticidade para a Previdência Social, para o Estado e para as pessoas.

5.4 Todos os mecanismos de proteção utilizados para a segurança das informações da Previdência Social devem ser mantidos para preservar a continuidade de seus negócios.

5.5 As diretrizes são destinadas a preservar a credibilidade e prestígio da instituição na prestação dos seus serviços.

5.6 A Política de Segurança deve ser conhecida e seguida por todos os usuários da instituição.

5.7 Os diversos níveis gerenciais devem zelar pelo cumprimento destas Diretrizes de Segurança da Informação no âmbito de sua competência.

5.8 Registros e informações sigilosas devem ser protegidos contra perda, destruição e falsificação, sendo retidos de forma segura para atender requisitos legais e regulamentares.

5.9 O cumprimento das normas de Segurança da Informação da Previdência Social será auditado periodicamente, de acordo com os critérios definidos pelo Subcomitê de Segurança da Informação.

5.10 As medidas de proteção devem ser planejadas e os gastos na aplicação de controles devem ser balanceados de acordo com os danos potenciais de falhas de segurança.

5.11 Devem ser mantidos planos de contingência e recuperação de desastres, formais e periodicamente testados, para garantir a continuidade das atividades críticas e o retorno à situação de normalidade.

5.12 Para acesso a informações e sistemas, todos os usuários devem ter identificador de uso pessoal, intransferível e com validade estabelecida, que permita de maneira clara e indiscutível o seu reconhecimento.

5.13 O usuário deve ter acesso autorizado apenas às informações, instalações e recursos necessários e indispensáveis ao seu trabalho.

5.14 Os usuários que tenham acesso a informações confidenciais ou reservadas devem fazê-lo apenas para os fins aprovados pelo respectivo gestor das informações, respeitando as regras de proteção estabelecidas.

5.15 Todos os usuários devem estar capacitados nos procedimentos de segurança e no uso correto da informação e recursos de processamento de forma a minimizar possíveis riscos de segurança.

5.16 Para ter acesso às informações que não sejam classificadas como públicas, o usuário deve firmar compromisso, em termo de sigilo e responsabilidade, quanto ao uso correto dos recursos e informações a que terá acesso autorizado.

5.17 Quando do afastamento ou desligamento do usuário das suas atribuições faz-se necessário o cancelamento imediato dos direitos de acesso e uso da informação, além do preenchimento de um termo de desligamento.

5.18 Os incidentes de segurança tais como indícios de fraude, sabotagem ou falha na segurança em processos, sistemas, instalações ou equipamentos devem ser notificados imediatamente à chefia imediata e ao responsável pela Gestão de Segurança da Informação do órgão.

5.19 As condições e termos de licenciamento de software e os direitos de propriedade intelectual devem ser respeitados. A instalação e uso de sistemas e equipamentos para processamento de informação devem ser previamente homologados e autorizados pelo órgão.

5.20 Todo sistema em operação definido como crítico para os serviços prestados pela Previdência Social deve possuir suficiente documentação de forma a garantir sua manutenibilidade, utilização, instalação, configuração, operação e produção, restringindo-se o acesso a essa documentação conforme e quando necessário.

5.21 As informações da instituição não devem ser expostas na presença de pessoas não autorizadas.

5.22 Recursos da Previdência Social não podem ser utilizados para constranger, assediar, ofender, caluniar, ameaçar ou causar prejuízos a qualquer pessoa física ou jurídica, nem veicular opiniões político-partidárias.

5.23 Qualquer indício de fraude, sabotagem, desvio ou falha na segurança da informação deverá ser notificado à chefia superior imediata, a quem caberá as providências e os encaminhamentos exigidos pela situação notificada.

5.24 Para ter acesso aos recursos da Previdência Social o usuário deve possuir capacitação apropriada.

5.25 Um procedimento crítico não pode ter controle operacional exclusivo de um único usuário.

5.26 A utilização de recursos computacionais na rede interna da Previdência Social é permitida somente mediante homologação e autorização.

5.27 A entrada ou saída de equipamento computacional da instituição deve ser autorizada e registrada.

5.28 Cada órgão deverá estabelecer sua estrutura de gerenciamento de programas, planos, projetos e ações de segurança da informação, com gestores especificamente designados para essa finalidade.

6. RESPONSABILIDADES

6.1 As diretrizes, normas e procedimentos de segurança deverão ser cumpridos por todos os usuários, nos termos desta Política.

6.2 O Comitê de Tecnologia e Informação da Previdência Social (CTI/PS), em relação à Política de Segurança, tem as seguintes responsabilidades:

Nota: Ver Portaria MPS nº 798, de 03.04.2005, DOU 05.05.2005, que dispõe sobre o Comitê de Tecnologia e Informação da Previdência Social.

a) supervisão, atualização e revisão da Política de Segurança;

b) análise, aprovação, acompanhamento e avaliação dos programas, planos, projetos e ações de segurança dos órgãos;

c) coordenação das iniciativas corporativas de segurança que envolverem mais de um órgão da Previdência Social.

6.3 O responsável pela unidade ou função de gestão de segurança da informação de cada órgão é responsável por:

a) propor diretrizes, normas e procedimentos de segurança da informação aplicáveis ao seu órgão;

b) planejar e coordenar a execução dos programas, planos, projetos e ações de segurança em seu órgão;

c) supervisionar, analisar e avaliar a efetividade dos processos, procedimentos, sistemas e dispositivos de segurança da informação em seu órgão;

d) recepcionar, organizar, armazenar e tratar adequadamente as informações de eventos e incidentes de segurança em seu órgão, determinando aos respectivos gestores as ações corretivas ou de contingência em cada caso;

e) relatar ao dirigente máximo do órgão, para as devidas providências, as ocorrências, eventos e incidentes de segurança da informação, na forma de relatório detalhado e circunstanciado;

f) nos órgãos onde não existir unidade de auditoria interna, coordenar e/ou acompanhar a execução de auditorias de segurança nos sistemas de informação no seu órgão.

6.4 Ao gestor de tecnologia e informação de cada órgão cabe a responsabilidade de:

a) homologar e autorizar o uso de sistemas e dispositivos de processamento de informações em suas instalações,

b) suspender, a qualquer tempo, o acesso do usuário a recurso computacional da Previdência Social quando evidenciados riscos à segurança da informação e informar o incidente ao gestor de segurança da informação do órgão.

6.5 Caberá à unidade de auditoria de cada órgão a responsabilidade de verificar o cumprimento, com efetividade, da Política de Segurança da Informação.

7. PENALIDADES

7.1 O não cumprimento das determinações da Política de Segurança da Informação da Previdência Social sujeita o infrator às penalidades previstas em lei e regulamentos internos dos órgãos.

8. DISPOSIÇÕES FINAIS

8.1 Os casos omissos serão analisados e deliberados pelo Comitê de Tecnologia e Informação da Previdência Social (CTI/PS)."