DOU 12/09/2023 - Diário Oficial da União - Brasil
Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152023091200096
96
Nº 174, terça-feira, 12 de setembro de 2023
ISSN 1677-7042
Seção 1
IV - acompanhar as investigações e as avaliações dos danos decorrentes de quebras
de segurança e adotar as medidas administrativas necessárias à aplicação de ações corretivas;
V - encaminhar os fatos apurados, decorrentes de quebra de segurança, para
a aplicação das penalidades previstas no art. 74;
VI - gerenciar a análise de risco;
VII - verificar se os procedimentos de Segurança da Informação estão sendo
aplicados de forma a atender à conformidade com legislações vigentes a respeito do
assunto e normativos internos específicos;
VIII - promover, com apoio da alta administração, a ampla divulgação da
Política, das normas internas de segurança da informação e de suas atualizações, de
forma ampla e acessível, a todos os usuários de informação e aos prestadores de
serviço;
IX - propor recursos necessários às ações de segurança da informação e das
comunicações;
X - acompanhar as atividades da Equipe de Prevenção, Tratamento e Resposta
a Incidentes Cibernéticos;
XI- promover e acompanhar estudos de novas tecnologias quanto a possíveis
impactos na segurança da informação e comunicações;
XII
- propor
normas internas
relativas
à segurança
da informação
e
comunicações;
XIII - promover a melhoria contínua dos processos de gestão de segurança da
informação e propor ajustes corretivos a serem incluídos nas revisões desta POSIN; e
XIV - propor conteúdo sobre segurança da informação, com vistas a facilitar
a capacitação e a instrução dos servidores e colaboradores para a utilização de sistemas
corporativos e acesso a informações nos níveis físico e lógico, em conformidade com as
diretrizes desta POSIN.
CAPÍTULO V
DAS RESPONSABILIDADES
Seção I
Do Proprietário da Informação
Art. 66. O setor ou a chefia imediata, proprietário da informação, é o
responsável primário pela sua viabilidade e sobrevivência.
Art. 67. Ao Proprietário da Informação caberá:
I - comunicar ao Gestor de Segurança da Informação acerca do ingresso, da
alteração de
lotação ou localização, e
do desligamento de
servidor, inclusive
colaboradores do Ministério do Turismo; e
II - colher a assinatura do Termo de Responsabilidade disponível no Anexo II
e do Termo de Confidencialidade disponível no Anexo III que envolvam o manuseio dos
ativos de informação.
Seção II
Das Responsabilidades do Usuário de Informação
Art. 68. O Usuário de Informação é a pessoa física, servidor ou equiparado,
empregado ou prestador de serviços, habilitada pela administração para acessar os ativos
de informação do Ministério do Turismo.
Art. 69. Todo usuário de informação deverá respeitar a classificação atribuída
a uma informação e, a partir dela, conhecer e obedecer às restrições de acesso e
divulgação associadas.
Art. 70. Ao Usuário de Informação caberá:
I - acessar a rede de dados do Ministério do Turismo somente após tomar
ciência desta POSIN e das normas internas de Segurança da Informação e assinar o
Termo de Responsabilidade (Anexo II);
II - manter sigilo e trocar periodicamente a senha pessoal;
III - não usar a identificação de acesso /login e senha de terceiros;
IV - portar crachá de identificação de maneira visível ou uniforme, para os
cargos que o exigirem, dentro das instalações do Ministério do Turismo;
V - zelar pelos equipamentos disponibilizados para a execução do seu serviço
e tratar a informação digital como patrimônio do Ministério do Turismo e como recurso
que deva ter seu sigilo preservado;
VI - utilizar as informações digitais disponibilizadas e os sistemas e produtos
computacionais de propriedade ou direito de uso do Ministério do Turismo
exclusivamente para o interesse do serviço;
VII - preservar o conteúdo das informações sigilosas a que tiver acesso, sem
divulgá-las para pessoas não autorizadas ou que não tenham necessidade de conhecê-las;
VIII - não tentar obter acesso à informação cujo grau de sigilo não seja
compatível com a sua Credencial de Segurança ou cujo teor não tenha autorização ou
necessidade de conhecer;
IX - não compartilhar, transferir, divulgar ou permitir o conhecimento de
credenciais de acesso (senhas) utilizadas no ambiente computacional do Ministério do
Turismo por terceiros;
X - não utilizar o ambiente computacional do Ministério do Turismo para
acessar, transmitir, copiar ou reter conteúdo ou arquivos com textos, fotos, filmes ou
quaisquer outros registros que possam causar constrangimento a terceiros ou que
estejam em desacordo com a moral e a ética públicas e com a legislação vigente;
XI - não transferir qualquer tipo de arquivo que pertença ao Ministério do
Turismo para outro local, seja por meio magnético ou não, exceto no interesse do
serviço e mediante autorização da autoridade competente;
XII - estar ciente de que o processamento, o trâmite e o armazenamento de
arquivos que não sejam de interesse do serviço não serão permitidos na rede
computacional do Ministério do Turismo;
XIII - estar ciente de que toda informação digital armazenada, processada e
transmitida no ambiente computacional do Ministério do Turismo poderá ser auditada;
XIV - estar ciente de que o e-mail é de uso exclusivo para o interesse do
serviço e que qualquer correspondência eletrônica originada ou retransmitida no
ambiente computacional do Ministério do Turismo deverá obedecer a esse preceito;
XV - ao assinar o Termo de Responsabilidade disponível no Anexo II, o usuário
de informação declara, formalmente, ter pleno conhecimento e aceitar expressamente,
sem reservas, os termos desta POSIN;
XVI - utilizar as credenciais de acesso (login e senha) e os recursos
computacionais em conformidade com a POSIN do Ministério do Turismo e
procedimentos estabelecidos em normas específicas do órgão;
XVII - informar prontamente à Central de Suporte ao Usuário caso tome
conhecimento de fato que esteja em desacordo com esta POSIN ou suspeite da
veracidade de mensagem ou arquivo recebidos; e
XVIII - no caso de exoneração, demissão, licenciamento, término de prestação
de serviço ou qualquer tipo de afastamento, preservar o sigilo das informações e
documentos sigilosos a que teve acesso.
Seção III
Das Responsabilidades do Custodiante da Informação
Art. 71.
O Custodiante da
Informação é
o agente público
que tem
responsabilidade formal de proteger a informação e aplicar os níveis de controles de
segurança em conformidade com as exigências de segurança da informação comunicadas
pelo proprietário da informação.
Art. 72. Ao Custodiante da Informação caberá:
I - cumprir e zelar pela observância integral das diretrizes desta POSIN e
demais normas e procedimentos decorrentes;
II - zelar pela disponibilidade, integridade, confidencialidade e autenticidade
das informações e recursos em qualquer suporte sob sua custódia, conforme condições
estabelecidas nesta POSIN e demais normas e procedimentos decorrentes, mediante
assinatura do Termo de Responsabilidade (Anexo II);
III - participar de capacitação, treinamento ou eventos em segurança da
informação promovidos pelo GSI;
IV - proteger as informações contra acesso, modificação, destruição ou
divulgação não autorizada;
V - preservar a classificação do grau de sigilo a documentos, dados e
informações dos quais tiver conhecimento em decorrência do exercício de suas
funções;
VI - adotar as medidas de proteção necessárias para minimizar ou eliminar os
riscos a que estão sujeitos seus ativos de informação no âmbito do Ministério do Turismo; e
VII - comunicar imediatamente ao Proprietário da Informação e ao Gestor de
Segurança da Informação sobre qualquer incidente que possa comprometer a
disponibilidade, a integridade, a confidencialidade e a autenticidade das informações ou
sobre fato de que tenha conhecimento que esteja em desacordo com esta POSIN.
CAPÍTULO VI
DAS PENALIDADES
Art. 73. O Usuário de Informação responderá pelo prejuízo que vier a
ocasionar ao Ministério do Turismo em decorrência do descumprimento de uma ou mais
regras desta POSIN e pelo uso indevido das suas credenciais de acesso.
Art. 74. A desobediência às regras estabelecidas nesta POSIN, por qualquer
pessoa física ou jurídica, no âmbito do Ministério do Turismo, implicará ao infrator as
penalidades previstas, nos âmbitos civil e penal, quanto à tipificação criminal de delitos
informáticos, conforme a Lei nº 12.737, de 30 de novembro de 2012, bem como perante
a justiça administrativa, conforme a Lei nº 8.112, de 11 de dezembro de 1990.
CAPÍTULO VII
DAS DISPOSIÇÕES FINAIS
Art. 75. Esta POSIN e suas atualizações deverão ser divulgadas amplamente
aos usuários de informações do Ministério do Turismo.
Parágrafo único. A atualização desta POSIN, bem como todos os instrumentos
normativos gerados a partir dela, deverão ser revisados e atualizados sempre que se fizer
necessário, não excedendo o período máximo de quatro anos.
Art. 76. Todos os servidores, colaboradores, estagiários e demais agentes
públicos ou particulares que executem atividade vinculada à atuação institucional do
Ministério do Turismo, deverão seguir o estabelecido nesta POSIN e as normas internas
de segurança da informação, bem como assinar o Termo de Responsabilidade (Anexo II)
quanto ao sigilo do conhecimento dos dados e informações.
Parágrafo único. O MTur poderá providenciar meio informatizado, para o
Termo de Responsabilidade (Anexo II) desta POSIN, visando facilitar a manifestação dos
usuários de ativos de informação.
Art. 77. Fica revogada a Portaria MTur nº 108, de 22 de maio de 2013.
Art. 78. Esta Portaria entra em vigor em 19 de setembro de 2023.
CELSO SABINO
ANEXO I
CONCEITOS E DEFINIÇÕES
Art. 1º Os conceitos e as definições utilizados nesta Política de Segurança da
Informação, em sua maioria, estão contidos no Glossário de Segurança da Informação,
aprovado pelo Gabinete de Segurança Institucional da Presidência da República mediante
a Portaria GSI/PF nº 93, de 18 de outubro de 2021, dentre eles:
I - acesso - ato de ingressar, transitar, conhecer ou consultar a informação,
bem como possibilidade de usar os ativos de informação de um órgão ou entidade,
observada eventual restrição que se aplique.
II - agente público - todo aquele que exerce, ainda que transitoriamente ou
sem remuneração, por eleição, nomeação, designação, contratação, ou qualquer outra
forma de investidura ou vínculo, mandato, cargo, emprego ou função nos órgãos e
entidades da administração pública federal, direta e indireta.
III - ameaça - conjunto de fatores externos com o potencial de causar dano
para um sistema ou organização.
IV - ataque - ação que constitui uma tentativa deliberada e não autorizada
para acessar ou manipular informações, ou tornar um sistema inacessível, não íntegro ou
indisponível.
V - ativos
de informação - meios de
armazenamento, transmissão e
processamento da informação, equipamentos necessários a isso, sistemas utilizados para
tal, locais onde se encontram esses meios, recursos humanos que a eles têm acesso e
conhecimento ou dado que tem valor para um indivíduo ou organização.
VI - auditoria - processo de exame cuidadoso e sistemático das atividades
desenvolvidas, cujo objetivo é averiguar se elas estão de acordo com as disposições
planejadas e estabelecidas previamente, se foram implementadas com eficácia e se estão
adequadas e em conformidade à consecução dos objetivos.
VII - autenticidade - propriedade pela qual se assegura que a informação foi
produzida, expedida, modificada ou destruída por uma determinada pessoa física,
equipamento, sistema, órgão ou entidade.
VIII - backup - conjunto de procedimentos que permite salvaguardar os dados
de um sistema computacional, garantindo guarda, proteção e recuperação. Tem a
fidelidade ao original assegurada. Esse termo também é utilizado para identificar a mídia
em que a cópia é realizada.
IX - comitê de governança digital e segurança da informação - grupo de
pessoas com a responsabilidade de assessorar a implementação das ações de segurança
da informação no âmbito do órgão ou entidade da administração pública federal.
X - computação em nuvem: modelo de fornecimento e entrega de tecnologia
de informação que permite acesso conveniente e sob demanda a um conjunto de
recursos computacionais configuráveis, sendo que tais recursos podem ser provisionados
e liberados com mínimo gerenciamento ou interação com o provedor do serviço de
nuvem;
XI - comprometimento - perda de segurança resultante do acesso não
autorizado.
XII - confidencialidade - propriedade pela qual se assegura que a informação
não esteja disponível ou não seja revelada à pessoa, ao sistema, ao órgão ou à entidade
não autorizados nem credenciados.
XIII - controlador - pessoa natural ou jurídica, de direito público ou privado,
a quem compete as decisões referentes ao tratamento de dados pessoais.
XIV - controle de acesso - conjunto de procedimentos, recursos e meios
utilizados com a finalidade de conceder ou bloquear o acesso ao uso de recursos físicos
ou computacionais. Via de regra, requer procedimentos de autenticação.
XV - controle de acesso à informação classificada - realizado por meio de
credencial de segurança e da demonstração da necessidade de conhecer.
XVI - cópia de segurança - vide backup.
XVII - credenciamento - processo pelo qual o usuário recebe credenciais de
segurança que concederão o acesso, incluindo a identificação, a autenticação, o
cadastramento de código de identificação e definição de perfil de acesso, em função de
autorização prévia e da necessidade de conhecer.
XVIII - crime cibernético - ato criminoso ou abusivo contra redes ou sistemas
de informações, seja pelo uso de um ou mais computadores, utilizados como ferramentas
para cometer o delito ou tendo como objetivo uma rede ou sistema de informações a
fim de causar incidente, desastre cibernético ou obter lucro financeiro.
XIX - criptografia - arte de proteção da informação, por meio de sua
transformação em um texto cifrado (criptografado), com o uso de uma chave de cifragem
e de procedimentos computacionais previamente estabelecidos, a fim de que somente
o(s) possuidor(es) da chave de decifragem possa(m) reverter o texto criptografado de
volta ao original (texto pleno). A chave de decifragem pode ser igual (criptografia
simétrica) ou diferente (criptografia assimétrica) da chave de cifragem.
XX - criticidade - o que é crítico, que envolve algum grau de risco.
XXI - custódia - consiste na responsabilidade de guardar um ativo para
terceiros. A custódia não permite automaticamente o acesso ao ativo, nem o direito de
conceder acesso a outros.
XXII - custodiante da informação - qualquer indivíduo ou estrutura de órgão
ou entidade
da administração pública federal,
direta e indireta,
que tenha
responsabilidade formal de proteger a informação e aplicar os níveis de controles de
segurança, em conformidade com as exigências de segurança da informação,
comunicadas pelo proprietário da informação.
XXIII - dado pessoal - informação relacionada à pessoa natural identificada ou
identificável.
XXIV - descarte - eliminação correta de informações, documentos, mídias e
acervos digitais.
XXV - dinâmico - que evolui permanentemente, que está em constante mudança;
Fechar