Portaria Conjunta SE/MPS/INSS/DATAPREV nº 1 de 05/11/2008

Norma Federal - Publicado no DO em 06 nov 2008

Estabelece a Política de Segurança da Informação e Comunicações no âmbito do Ministério da Previdência Social - MPS, do Instituto Nacional do Seguro Social - INSS e da Empresa de Tecnologia e Informações da Previdência Social - DATAPREV, e constitui o Comitê de Segurança da Informação e Comunicações.

O SECRETÁRIO EXECUTIVO DO MINISTÉRIO DA PREVIDÊNCIA SOCIAL, O PRESIDENTE DO INSTITUTO NACIONAL DO SEGURO SOCIAL - INSS E O PRESIDENTE DA EMPRESA DE TECNOLOGIA E INFORMAÇÕES DA PREVIDÊNCIA SOCIAL - DATAPREV, no uso de suas atribuições e tendo em vista o que consta do Decreto nº 3.505, de 13 de junho de 2000,

Resolvem:

Art. 1º Estabelecer, nos termos do Anexo a esta Portaria, a Política de Segurança da Informação e Comunicações para a orientação estratégica das ações relativas à segurança da informação e comunicações a serem implementadas no âmbito do MPS e de suas entidades vinculadas.

Parágrafo único. A Política de Segurança da Informação e Comunicações de que trata o caput aplica-se, no que couber, no relacionamento com outros órgãos públicos ou entidades privadas.

Art. 2º São objetivos da Política de Segurança da Informação e Comunicações a salvaguarda dos ativos como dados, informações e materiais sigilosos de interesse da Previdência Social e do Estado Brasileiro, bem como dos sistemas computacionais e das áreas e instalações onde são produzidos, armazenados ou tramitam, além da preservação da inviolabilidade e da intimidade da vida privada, da honra, imagem das pessoas e da instituição.

Parágrafo único. Além das diretrizes estabelecidas no Anexo a esta Portaria, a Política ora estabelecida deverá ser orientada pelas melhores práticas e procedimentos de segurança da informação recomendados por órgãos e entidades públicas e privadas responsáveis pelo estabelecimento de padrões e normas de segurança.

Art. 3º Constituir o Comitê de Segurança e Tecnologia da Informação e Comunicações da Previdência Social - CSTIC-PS, com as seguintes atribuições:

I - deliberar sobre diretrizes, normas, padrões, metodologias, planos, programas e projetos de Segurança e Tecnologia da Informação e Comunicações;

II - aprovar planos de investimentos em Segurança e Tecnologia da Informação e Comunicações;

III - criar e avaliar os indicadores de acompanhamento da implantação dos planos estratégicos de Segurança e Tecnologia da Informação e Comunicações, bem como fiscalizar sua execução e propor medidas para correção; e

IV - elaborar e aprovar o seu regimento interno.

§ 1º O CSTIC-PS será composto por:

I - três representantes titulares e um suplente do MPS, indicados pelo Secretário-Executivo, entre eles o Secretário-Executivo Adjunto, que o presidirá;

II - dois representantes titulares e um suplente do INSS, indicados pelo seu Presidente; e

III - dois representantes titulares e um suplente da Dataprev, indicados pelo seu Presidente.

§ 2º Nos casos de ausências ou impedimentos, o Presidente será substituído por um dos membros titulares do MPS.

§ 3º Os membros do CSTIC-PS serão designados por ato do Secretário-Executivo Adjunto.

§ 4º O CSTIC-PS deliberará por maioria absoluta de seus membros e suas decisões serão formalizadas por meio de Resoluções. (Redação dada ao artigo pela Portaria Conjunta SE/MPS/INSS/DATAPREV nº 1, de 09.04.2009, DOU 14.04.2009)

Nota:Redação Anterior:
"Art. 3º Constituir o Comitê de Segurança da Informação e Comunicações - CSIC, do MPS e de suas entidades vinculadas com as seguintes atribuições:
I - deliberar sobre diretrizes, normas, padrões, metodologias, planos, programas e projetos de segurança da informação e comunicações;
II - aprovar planos de investimentos em segurança da informação e comunicações;
III - criar e avaliar os indicadores de acompanhamento da implantação dos planos de segurança, bem como fiscalizar sua execução e propor medidas para correção; e
IV - elaborar e aprovar o seu regimento interno.
§ 1º O CSIC será composto por:
I - três representantes titulares e um suplente do MPS, indicados pelo Secretário-Executivo, entre eles o Secretário-Executivo Adjunto, que o presidirá;
II - dois representantes titulares e um suplente do INSS, indicados pelo seu Presidente; e
III - dois representantes titulares e um suplente da DATAPREV, indicados pelo seu Presidente.
§ 2º Em suas ausências ou impedimentos o Presidente será substituído por um dos membros titulares do MPS.
§ 3º Os membros do CSIC serão designados por ato do Secretário-Executivo Adjunto.
§ 4º O CSIC deliberará por maioria absoluta de seus membros cujas decisões serão formalizadas por meio de resoluções."

Art. 4º Eventuais dúvidas sobre assuntos relativos à Tecnologia da Informação, bem como sobre a Política de Segurança da Informação e Comunicações de que trata esta Portaria deverão ser submetidas à apreciação do CSTIC-PS.

Parágrafo único. Demais atribuições e a forma de funcionamento deverão ser aprovadas em reunião ordinária do Comitê de Segurança e Tecnologia da Informação e Comunicações. (Redação dada ao artigo pela Portaria Conjunta SE/MPS/INSS/DATAPREV nº 1, de 09.04.2009, DOU 14.04.2009)

Nota:Redação Anterior:
"Art. 4º Eventuais dúvidas sobre assuntos relativos à Política de Segurança da Informação de que trata esta Portaria deverão ser submetida à apreciação do CSIC."

Art. 5º Esta Portaria entra em vigor na data de sua publicação.

CARLOS EDUARDO GABAS

Secretário Executivo do MPS

MARCO ANTONIO DE OLIVEIRA

Presidente do INSS

LINO ROQUE CAMARGO KIELING

Presidente da DATAPREV

ANEXO I
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES DO MPS, INSS e DATAPREV

1. INTRODUÇÃO

A Política de Segurança da Informação e Comunicações do MPS, INSS e DATAPREV visa preservar a disponibilidade, integridade, confidencialidade e autenticidade das informações. Esta Política foi elaborada com base nos seguintes documentos:

I - Lei nº 8.159, de 8 de janeiro de 1991, que dispõe sobre a política nacional de arquivos públicos e privados;

II - Lei nº 9.609, de 19 de fevereiro de 1998, que dispõe sobre a proteção da propriedade intelectual de programa de computador;

III - Lei nº 9.610, de 19 de fevereiro de 1998, que altera, atualiza e consolida a legislação sobre direitos autorais;

IV - Lei nº 9.983, de 14 de julho de 2000, que dispõe sobre a responsabilidade administrativa, civil e criminal de usuários que cometam irregularidades em razão do acesso a dados, informações e sistemas informatizados da Administração Pública;

V - Decreto nº 3.505, de 13 de junho de 2000, que institui a Política de Segurança da Informação nos órgãos e entidades da Administração Pública Federal;

VI - Decreto nº 4.553, de 27 de dezembro de 2002, que dispõe sobre a salvaguarda de dados, informações, documentos e materiais sigilosos de interesse de segurança da sociedade e do Estado, no âmbito da Administração Pública Federal, e dá outras providências; e

VII - NBR/ISO/IEC nº 27.002, que institui o código de melhores práticas para gestão de segurança da informação.

2. OBJETIVOS

Os objetivos precípuos desta Política de Segurança da Informação e Comunicações são o estabelecimento de orientações gerais de segurança da informação e comunicações no âmbito do MPS e de suas entidades vinculadas e o apoio conceitual na adoção de soluções integradas e específicas de segurança da informação e comunicações adequadas às responsabilidades, funcionalidades e peculiaridades de cada uma das entidades.

3. ESCOPO

Estas diretrizes se aplicam a todos os ambientes do MPS e de suas entidades vinculadas e seus usuários e a todos os agentes públicos, empregados e inclusive colaboradores externos de qualquer natureza jurídica e também ao público externo.

4. CONCEITOS E DEFINIÇÕES:

I - autenticidade: propriedade de que a informação foi produzida, expedida, modificada ou destruída por determinada pessoa física, ou por determinado sistema, órgão ou entidade;

II - confidencialidade: propriedade de que a informação não esteja disponível ou revelada à pessoa física, sistema, órgão ou entidade não autorizado e credenciado;

III - classificação: atribuição de grau de sigilo a dado, informação, documento, material, área ou instalação, pela autoridade competente;

IV - criticidade: grau de importância da informação para a continuidade dos negócios do MPS e suas entidades vinculadas, diretamente associada ao nível de disponibilidade e integridade da informação;

V - disponibilidade: propriedade de que a informação esteja acessível e utilizável sob demanda por uma pessoa física ou determinado sistema, órgão ou entidade;

VI - gestor: usuário que gerou a informação, que responde pelo seu conteúdo ou que foi formalmente designado para definir ou alterar a sua classificação nos graus de sigilo, criticidade e perfil de acesso dos demais usuários e processos;

VII - integridade: propriedade de que a informação não foi modificada, inclusive quanto à origem e ao destino, ou destruída;

VIII - ativo: além da própria informação, todo o recurso utilizado para a sua produção, o seu tratamento, tráfego e armazenamento;

IX - usuário: pessoa física formalmente autorizada a acessar o ambiente e as informações do MPS e de suas entidades vinculadas;

X - informação: conjunto de dados organizados de acordo com procedimentos executados por meios eletrônicos ou não, que possibilitam a realização de atividades específicas e/ou tomada de decisão;

XI - informação confidencial: aquela cujo conhecimento e divulgação, por pessoa não autorizada, possa ser prejudicial ao interesse do País;

XII - informação reservada: dados ou informações cuja revelação não autorizada possa comprometer planos, operações ou objetivos neles previstos ou referidos;

XIII - informação pública ou ostensiva: aquelas cujo acesso é irrestrito, disponível para divulgação pública por meio de canais autorizados pela entidade gestora; e

XIV - segurança da informação: preservação da confidencialidade, integridade, disponibilidade e autenticidade da informação.

5. DIRETRIZES DE SEGURANÇA:

I - a segurança é direcionada contra ameaças - naturais, acidentais ou intencionais - de destruição, modificação ou divulgação indevida das informações e para o impedimento de fraudes;

II - a informação deve ser tratada como um patrimônio a ser protegida no acesso, tráfego, uso e armazenamento, de acordo com sua classificação em graus de sigilo e criticidade;

III - a política de segurança deve ser conhecida e seguida por todos os usuários das instituições;

IV - o CSIC é responsável pela gestão de segurança e deve promover e disseminar a importância da segurança da informação e comunicações, por meio de programas de sensibilização e conscientização dos seus usuários;

V - registros e informações sigilosas devem ser protegidos contra perda, destruição e falsificação, sendo mantidos de forma segura para atender requisitos legais e regulamentares;

VI - o cumprimento das normas de segurança da informação e comunicações no MPS e suas entidades vinculadas será auditado por auditores internos, periodicamente, de acordo com os critérios definidos pelo CSIC;

VII - as medidas de proteção devem ser planejadas e os gastos na aplicação de controles devem ser balanceados de acordo com os danos potenciais de falhas de segurança;

VIII - devem ser mantidos planos de contingência e recuperação de desastres, formais e periodicamente testados, para garantir a continuidade das atividades críticas e o retorno à situação de normalidade, de acordo com os critérios definidos pelo CSIC;

IX - para acesso as informações e sistemas, todos os usuários devem ter identificador de uso pessoal, intransferível e com validade estabelecida, que permita de maneira clara o seu reconhecimento;

X - o usuário deve ter acesso autorizado apenas às informações, instalações e recursos necessários e indispensáveis ao seu trabalho, de acordo com perfis definidos formalmente pelos gestores;

XI - os sistemas e equipamentos de informação estão sujeitos a monitoração remota e eventual inspeção local, a fim de coibir a utilização indevida dos mesmos e danos resultantes desta utilização;

XII - o usuário que tenha acesso a informações confidenciais ou reservadas somente poderá fazer uso deste para fins aprovados pelo respectivo gestor das informações, respeitando as regras de proteção estabelecidas;

XIII - o usuário deve ser capacitado nos procedimentos de segurança e no uso correto da informação e recursos computacionais de forma a minimizar possíveis riscos à segurança;

XIV - para ter acesso às informações que não sejam classificadas como públicas, o usuário deve firmar compromisso, em termo de sigilo e responsabilidade, quanto ao uso correto dos recursos e informações a que terá acesso autorizado;

XV - quando do afastamento ou desligamento do usuário das suas atribuições faz-se necessário o cancelamento imediato dos direitos de acesso e uso da informação, além do preenchimento de termo de desligamento;

XVI - os incidentes de segurança, tais como: indícios de fraude, sabotagem ou falha na segurança em processos, sistemas, instalações ou equipamentos devem ser notificados imediatamente à chefia imediata e ao responsável pela gestão de segurança da informação do órgão;

XVII - as condições e termos de licenciamento de software e os direitos de propriedade intelectual devem ser respeitados;

XVIII - a instalação e o uso de sistemas e equipamentos para processamento de informação devem ser previamente homologados e autorizados pelas unidades competentes em cada entidade, de acordo com os critérios definidos pelo CSIC;

XIX - todo o sistema em operação definido como crítico para os serviços prestados pelo MPS e suas entidades vinculadas deve possuir suficiente documentação de forma a garantir sua manutenibilidade, utilização, instalação, configuração, operação e produção, restringindo-se o acesso a essa documentação quando necessário;

XX - recursos do MPS e suas entidades vinculadas não podem ser utilizados para constranger, assediar, ofender, caluniar, ameaçar ou causar prejuízos a qualquer pessoa física ou jurídica, nem veicular opiniões político-partidárias;

XXI - a entrada ou saída de equipamento computacional da instituição deve ser informada pelo detentor do equipamento, sendo o trânsito permitido somente mediante a autorização dos órgãos competentes;

XXII - cada entidade deverá estabelecer sua estrutura de gerenciamento de programas, planos, projetos e ações de segurança da informação, de acordo com as definições do CSIC; e

XXIII - os membros titulares do CSIC serão os gestores de segurança da informação e comunicações em cada entidade.

6. RESPONSABILIDADES:

I - em relação a política de segurança da informação, cabe ao CSIC:

a) propor regulamentações acessórias ao cumprimento da política de segurança;

b) analisar, aprovar, acompanhar e avaliar os programas, planos, projetos e ações de segurança das entidades;

coordenar as iniciativas de segurança que envolva mais de uma entidade;

II - aos gestores de segurança da informação compete:

a) propor diretrizes, normas e procedimentos de segurança da informação e comunicações aplicáveis nas entidades;

b) planejar e coordenar a execução dos programas, planos, projetos e ações de segurança nas entidades;

c) coordenar e acompanhar a execução de auditorias de segurança nos sistemas de informação e comunicações nas entidades;

d) recepcionar, organizar, armazenar e tratar adequadamente as informações de eventos e incidentes de segurança nas entidades, determinando aos gestores dos sistemas as ações corretivas ou de contingência em cada caso;

e) relatar ao dirigente máximo de sua entidade e ao presidente do CSIC, para as devidas providências, as ocorrências, eventos e incidentes de segurança da informação e comunicações;

f) coordenar a monitoração em caráter especial, o acesso do usuário a recurso computacional em sua entidade quando evidenciados riscos à segurança da informação e comunicações; e

g) o monitoramento de que trata a alínea f dependerá de regulamento a ser editado pelo CSIC.

III - cabe ao Coordenador-Geral da Informática do MPS, Coordenador-Geral de Tecnologia da Informação do INSS e Diretor de Infra-Estrutura de Tecnologia da DATAPREV homologar e autorizar o uso de sistemas e recursos computacionais no âmbito de suas entidades.

7. PENALIDADES:

O não cumprimento das determinações da política de segurança da informação e comunicações do MPS, INSS e DATAPREV sujeita o infrator às penalidades previstas em lei e regulamentos internos de cada entidade.

8. DISPOSIÇÕES FINAIS:

Os casos omissos, as situações especiais e as demais diretrizes necessárias a implantação desta política de segurança serão analisados e deliberados pelo CSIC.