Copyright © Dia Oficial 2026 | contato@diaoficial.com

DOU 15/06/2023 - Diário Oficial da União - Brasil 

                            Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152023061500071
71
Nº 112, quinta-feira, 15 de junho de 2023
ISSN 1677-7042
Seção 1
sistema de atendimento, em que devem ser registrados os níveis de acesso adequados
às atividades desenvolvidas.
5.10.5. Incumbe à chefia imediata e aos gestores de equipes solicitar à
CGT I :
I - os acessos necessários ao desenvolvimento das atividades dos servidores,
estagiários e demais colaboradores vinculados a sua unidade;
II - a alteração dos níveis de acesso ,ou a remoção do acesso a sistemas
concedidos a servidores, estagiários e demais colaboradores da unidade, sempre que
necessária sua adequação às atividades desenvolvidas;
III - a remoção dos acessos concedidos aos servidores, estagiários e demais
colaboradores da unidade, imediatamente após o afastamento, ou desligamento da
unidade.
5.10.5.1. Não solicitada a alteração, ou exclusão no momento oportuno, a
chefia poderá ser responsabilizada pelo acesso indevido dos servidores, estagiários e
demais colaboradores a informações da unidade.
5.10.6. A Coordenação Geral de Gestão de Pessoas (CGGP) deverá informar
à CGTI quando da ocorrência de atos que encerrem o vínculo de servidores e
estagiários com o Ministério do Meio Ambiente e Mudança do Clima, para que sejam
efetuados os procedimentos de descredenciamento destes usuários da rede do
Ministério do Meio Ambiente e Mudança do Clima.
5.10.7. Os gestores de contratos de terceirização deverão informar, no prazo
máximo de 5 (cinco) dias úteis, quando da ocorrência de atos que encerrem o vínculo
do colaborador terceirizado com o Ministério do Meio Ambiente e Mudança do Clima,
para que sejam efetuados os procedimentos de descredenciamento destes usuários da
rede do Ministério do Meio Ambiente e Mudança do Clima.
5.10.8. A CGTI comunicará à unidade respectiva sobre a efetivação do
cadastro, fornecendo as informações necessárias ao acesso, e encaminhará a Política
de Segurança da Informação (POSIN), em formato eletrônico, para a caixa postal
institucional pessoal do usuário, para ciência.
5.10.9. As solicitações de acessos de prestadores de serviço aos recursos
tecnológicos do Ministério do Meio Ambiente e Mudança do Clima terão caráter
temporário e deverão ser acompanhadas da respectiva justificativa, bem como do
prazo previsto para a realização das atividades.
5.10.10. Senhas de usuários
5.10.10.1. As novas senhas (PROVISÓRIAS) solicitadas serão fornecidas por
meio de comunicação eletrônica para a caixa postal pessoal do usuário, ou para caixa
postal institucional pessoal do usuário, proibido o fornecimento de senhas por qualquer
outro meio, inclusive telefone.
5.10.10.2. É de responsabilidade do usuário a alteração da senha inicial
fornecida pela CGTI no primeiro acesso realizado.
5.10.10.3. O privilégio de administrador na estação de trabalho é restrito
aos membros da equipe técnica da CGTI que necessitem de acesso privilegiado para o
desempenho das atividades funcionais.
5.10.10.4. Nos computadores portáteis disponibilizados pelo Ministério do
Meio Ambiente e Mudança do Clima aos servidores, estes poderão ter o privilégio de
administrador local.
5.10.10.5. Os acessos privilegiados aos sistemas e serviços de TIC serão
concedidos aos membros da equipe técnica da Ministério do Meio Ambiente e
Mudança do Clima, sempre que necessários ao desempenho das atividades funcionais,
de modo a permitir a gestão e configuração do ambiente tecnológico.
5.10.10.6. Na utilização das credenciais de acesso, compete ao usuário
observar os procedimentos a seguir indicados, bem como adotar outras medidas de
segurança de caráter pessoal, com vistas a impedir o uso não autorizado dos recursos
de TI a partir de sua conta de acesso:
I - não compartilhar a senha com outras pessoas;
II - não armazenar senhas em local acessível por terceiros;
III - não utilizar senhas de fácil dedução, como as que contenham nomes
próprios e de familiares, datas festivas, ou compostas por sequências numéricas;
IV - ao ausentar-se de sua estação de trabalho, ainda que temporariamente,
o usuário deverá encerrar, ou bloquear a sessão.
5.10.10.7. A senha de rede deverá contemplar os seguintes requisitos:
I - ter, no mínimo, 10 (dez) caracteres;
II - não conter o nome de usuário (login) de rede;
III - conter letras maiúsculas e minúsculas;
IV - conter ao menos um caractere especial, tais como @#!&%) e
assemelhados;
V- conter ao menos um número.
5.10.10.8. Não poderão ser utilizadas as 03 (três) últimas senhas de rede
utilizadas anteriormente pelo(a) usuário(a).
5.10.10.9. A conta do usuário será bloqueada após 40 (quarenta) tentativas
consecutivas de acesso não reconhecidas, consideradas também as tentativas inválidas
de acesso à rede sem fio.
5.10.10.10. A senha de rede definida pelo usuário expirará em 120 (cento
e vinte) dias.
5.10.10.11. Em caso de suspeita de comprometimento da senha, ou de
outro recurso de autenticação, o usuário deverá comunicar imediatamente a CGTI, que
poderá, como medida preventiva, suspender temporariamente o acesso.
5.10.11. Senhas de uso privilegiado
5.10.11.1. Todas as contas privilegiadas (tais como as de administrator, asgv,
root, 
etc.) 
devem 
ter 
as 
senhas 
trocadas, 
renomeadas 
e 
desabilitadas
periodicamente.
5.10.11.2. Os acessos privilegiados, por questões de segurança, devem ser
realizados por uma quantidade mínima de usuários, que farão uso de perfis de
administradores e autorização de acesso para essas funcionalidades, devendo, sempre
que possível, utilizar ferramentas do tipo cofre de senhas.
5.10.11.3. Caso as contas privilegiadas não possam ter as senhas trocadas
ou renomeadas, serão desabilitadas e consideradas "contas de serviço", não sendo
utilizadas para qualquer tipo de acesso.
5.10.11.4. As senhas não devem ser introduzidas em linhas de comando
(códigos fontes), ou em scripts abertas, mas, caso seja necessário, devem ser
criptografadas e consideradas "contas de serviço".
5.10.11.5. Todas senhas em trânsito, ou seja, que sejam trafegadas pela
rede, obrigatoriamente deverão estar encriptadas.
5.10.11.6. Usuários de contas privilegiadas deverão utilizar senhas fortes e
duplo fator de autenticação.
5.11. REGISTRO DE EVENTOS
5.11.1. Serão mantidos, por um período mínimo de 3 (três) meses, os
registros dos acessos dos usuários e dos acessos privilegiados aos recursos tecnológicos
disponibilizados pelo Ministério do Meio Ambiente e Mudança do Clima, inclusive para
fins de apuração e comprovação de incidentes de segurança.
5.11.2. Serão registrados os seguintes dados:
I - identificação de usuário de quem efetuou o acesso;
II - data e hora de entrada e saída do sistema;
III - origem do acesso;
IV - erros ou falhas de conexão e acesso;
V - troca de senhas de Serviços de Infraestrutura de TI;
VI - outras informações que venham a ser necessárias para os controles de
segurança.
6. MONITORAMENTO E AUDITORIAS
6.1. As auditorias ordinárias ou extraordinárias serão coordenadas pelo
Gestor de Segurança da Informação (GSIN) e os relatórios serão encaminhados ao
Comitê de Segurança da Informação (CSIN) e ao Comitê de Governança Digital
( CG D ) .
6.2. As auditorias extraordinárias deverão ser precedidas de autorização do
CSIN.
6.3. Os procedimentos constantes desta norma deverão ter monitoramento
contínuo da CGTI visando à melhoria contínua.
7. ATUALIZAÇÃO DA NORMA
7.1. O disposto na presente norma será atualizado, sempre que alterados os
procedimentos de uso de recursos de TI e controle de acesso, observada, ainda, a
periodicidade prevista para
a revisão da Política de
Segurança da Informação
(POSIN).
ANEXO IV
NORMA DE SEGURANÇA DA INFORMAÇÃO - NSI 004/2023
POLÍTICA DE BACKUP E RECUPERAÇÃO DE DADOS
1. OBJETIVO
1.1. Estabelecer diretrizes e padrões para procedimentos de backup e
recuperação de dados no âmbito do Ministério do Meio Ambiente e Mudança do
Clima.
1.2. Regulamentar a política de backup das informações eletrônicas no âmbito
do Ministério do Meio Ambiente e Mudança do Clima, com o objetivo de estabelecer
diretrizes para o processo de cópia e armazenamento dos dados sob a guarda do Centro
de
Processamento de
Dados (CPD),
visando
garantir a
segurança, integridade
e
disponibilidade, em conformidade com a Política de Segurança da Informação (POSIN).
2. MOTIVAÇÕES
2.1.
Alinhamento às
normas, regulamentações
e
às melhores
práticas
relacionadas à matéria.
2.2. Proteção da Rede de Computadores do Ministério do Meio Ambiente e
Mudança do Clima.
2.3. Garantia de que os acessos aos recursos tecnológicos sejam feitos de
forma segura e controlada.
2.4. Correto direcionamento e dimensionamento de recursos tecnológicos para
apoiar as atividades laborais dos servidores e colaboradores do Ministério do Meio
Ambiente e Mudança do Clima.
2.5. Necessidade de um processo sistemático para gerenciar o uso de recursos
de Tecnologia da Informação (TI), visando garantir a segurança e a continuidade das
atividades do Ministério do Meio Ambiente e Mudança do Clima.
2.6. Orientações gerais para gestores e usuários de serviços de TI lotados em
todas as outras unidades do Ministério do Meio Ambiente e Mudança do Clima.
2.7. Garantia de que a salvaguarda das informações seja realizada de forma
otimizada, atendendo às necessidades do Ministério do Meio Ambiente e Mudança do
Clima.
3. REFERÊNCIAS NORMATIVAS
3.1. Instrução Normativa nº 1, de 27 de maio de 2020, do GSI/PR, que dispõe
sobre a Estrutura de Gestão da Segurança da Informação (SI) nos órgãos e nas entidades
da Administração Pública Federal (APF).
3.2. Norma Técnica ABNT NBR ISO/IEC 27001:2013, que especifica os requisitos
para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão
da Segurança da Informação (SI) dentro do contexto da organização.
3.3. Norma Técnica ABNT NBR ISO/IEC 27002:2013, que fornece diretrizes para
práticas de gestão de SI.
3.4. Lei nº 13.709/2018 , de 14 de agosto de 2018 - Lei Geral de Proteção de
Dados Pessoais (LGPD).
3.5. Instrução Normativa nº 1, de 04 de abril de 2019, que dispõe sobre o
processo de contratação de soluções de Tecnologia da Informação e Comunicação (TIC)
pelos órgãos e entidades integrantes do Sistema de Administração dos Recursos de
Tecnologia da Informação (SISP) do Poder Executivo Federal.
4. CONCEITOS E DEFINIÇÕES
4.1. Para os fins desta Norma, adota-se os conceitos e definições constantes do
Glossário de Segurança da Informação, conforme Portaria GSI/PR nº 93, de 18 de outubro
de 2021.
5. DIRETRIZES
5.1. RESPONSABILIDADE E ATRIBUIÇÕES
5.1.1. O administrador do backup é responsável pela política e procedimentos
relativos aos serviços de backup e restore, bem como por guardar as mídias móveis, e por
assegurar o cumprimento das normas aplicáveis.
5.1.2 O serviço de backup deve ser orientado para a restauração das
informações no menor tempo possível, principalmente quando houver indisponibilidade de
serviços que dependam da operação de restore.
5.1.3. São atribuições do Administrador de Backup:
I - Propor modificações visando ao aperfeiçoamento da política de backup;
II - Criar a ferramenta de backup e os clientes;
III - Configurar a ferramenta de backup e os clientes;
IV - Criar e manter as mídias preservadas, funcionais e seguras;
V - Efetuar testes de backup e auxiliar nos procedimentos de restore;
VI - Criar notificações e relatórios;
VII - Verificar diariamente os eventos gerados pela ferramenta de backup,
tomando as providências necessárias para remediação de falhas;
VIII - Restaurar os backups em caso de necessidade;
IX - Gerenciar mensagens e logs diários dos backups, fazendo o tratamento dos
erros de forma que o procedimento de backup tenha sequência e os erros na sua
execução sejam eliminados;
X - Fazer manutenções periódicas dos dispositivos de backup;
XI - Fazer o carregamento das
mídias necessárias para os backups
programados.
5.1.4 É atribuição do administrador de recurso:
I - Preencher documento de solicitação de backup e restore com as
informações relativas ao backup, como servidor e dados a serem incluídos;
II - Dar permissão ao administrador de backup para configurar e modificar a
ferramenta cliente de backup no servidor;
III - Validar o resultado do restore.
5.2. ESCOPO DO BACKUP
5.2.1. Todo e qualquer ativo de Tecnologia da Informação e da Comunicação
(TIC) que armazene dados e que esteja sob responsabilidade do CPD deverá ser
considerado para avaliação de inclusão no processo de backup.
5.2.2. A manutenção de backup de dados e de programas computacionais, com
periodicidade, tempo de retenção e técnicas de segregação adequados à criticidade do
serviço prestado e à classificação das informações e dos dados tratados, em conformidade
com os processos de gestão de riscos e de gestão de continuidade de negócios do
Ministério do Meio Ambiente e Mudança do Clima, é de realização obrigatória.
5.2.3. O responsável por cada recurso deverá definir quais diretórios e arquivos
serão incluídos no backup, tendo como prioridade:
I - Arquivos de configurações de sistemas operacionais e aplicativos instalados
em servidor;
II - Arquivos de log dos aplicativos, inclusive log da ferramenta de backup e
restauração;
III - Informações e configurações de banco de dados;
IV - Conteúdo de repositórios de dados associados a sistemas;
V - Arquivos institucionais de usuários (documentos e e-mails);
VI - Arquivos de aplicações desenvolvidas pelo Ministério do Meio Ambiente e
Mudança do Clima, ou quaisquer outros não descritos neste item em que a perda de suas
informações gere prejuízo ao Ministério do Meio Ambiente e Mudança do Clima.
5.2.4. Para os aplicativos e/ou bancos de dados devem ser seguidas as
recomendações sugeridas pelo desenvolvedor e/ou fabricante.
5.2.5. Os procedimentos de backup deverão ser atualizados quando houver:
I - Novas aplicações desenvolvidas;
II - Novos locais de armazenamento de dados, ou de arquivos;
III - Novas instalações de bancos de dados;
IV - Novos aplicativos instalados;
V - Outras informações que necessitem de proteção através de backups que
deverão ser informadas ao Administrador de Backup.

Fechar