DOU 21/05/2025 - Diário Oficial da União - Brasil
Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152025052100113
113
Nº 94, quarta-feira, 21 de maio de 2025
ISSN 1677-7042
Seção 1
II - ser tratadas de forma integrada, respeitando as especificidades e a
autonomia das unidades do Ministério;
III - ser adotadas proporcionalmente aos riscos existentes e à magnitude dos
danos potenciais, considerados o ambiente, o valor e a criticidade da informação;
IV - visar à prevenção da ocorrência de incidentes;
V - assegurar a conformidade
com as legislações e regulamentações
vigentes, incluindo a Lei Geral de Proteção de Dados Pessoais (LGPD); e
VI - promover a conscientização e capacitação contínua dos usuários em
temas de segurança da informação.
Art. 12. O investimento necessário em medidas de segurança da informação
deve ser dimensionado segundo o valor do ativo a ser protegido e de acordo com o
risco de potenciais prejuízos ao Ministério.
Art. 13.
Toda e
qualquer informação
gerada, custodiada,
manipulada,
utilizada ou armazenada no Ministério da Previdência Social compõe o seu rol de
ativos de informação e deve ser protegida conforme normas em vigor.
Parágrafo único. As informações citadas no caput, que tramitem pelo
ambiente computacional do Ministério da Previdência Social, são passíveis de
monitoramento e auditoria por este Ministério, respeitados os limites legais.
Art. 14. O controle de acesso aos ativos de informação deve observar os
princípios de:
I - privilégio mínimo: garantir
que usuários, sistemas e dispositivos
automatizados possuam apenas as permissões necessárias para o desempenho de suas
funções;
II - necessidade de saber: acesso às informações restrito apenas àqueles
cuja função exige o conhecimento específico;
III - autenticação multifator: utilização de múltiplos métodos de verificação
para acesso ao ambiente tecnológico e sistemas críticos;
IV - revisão periódica dos
acessos: auditoria regular das permissões
concedidas para assegurar sua adequação; e
V - revogação imediata de acessos: remoção de permissões de usuários que
não mais
necessitam delas, como
em casos
de desligamento ou
mudança de
função.
§ 1º É condição para acesso aos recursos de tecnologia da informação do
Ministério a assinatura, preferencialmente eletrônica, de Termo de Responsabilidade
indicando a ciência aos termos desta Política, as responsabilidades e os compromissos
em decorrência deste acesso, bem como as penalidades cabíveis pela inobservância das
regras previstas nas normas de segurança da informação do Ministério.
§ 2º O perfil de "administrador local" da estação de trabalho é exclusivo da
equipe técnica da unidade de tecnologia da informação do Ministério, restando ao
usuário que utilizará o equipamento o perfil de "usuário comum".
§ 3º Quando necessário ao usuário, para desempenho da função, o perfil de
"administrador local" poderá ser autorizado pela unidade de tecnologia da informação
do Ministério, mediante assinatura de Termo de Responsabilidade específico, com a
autorização da chefia imediata, e parecer técnico ou documentação do sistema
evidenciando a necessidade de tal permissão.
Art. 15. A Política de Segurança da Informação e suas atualizações, bem
como normas específicas de segurança da informação do Ministério da Previdência
Social, deverão ser divulgadas amplamente a todos os usuários de informação, ainda
que a atuação na Pasta seja temporária, a fim de promover sua observância, seu
conhecimento, bem como a formação da cultura de segurança da informação.
§ 1º Os usuários de informação devem ser continuamente capacitados nos
procedimentos de segurança e no uso correto dos ativos de informação quando da
realização de suas atribuições, de modo a minimizar possíveis riscos à segurança da
informação.
§ 2º As ações de capacitação previstas no § 1º deverão ser conduzidas de
modo a possibilitar o compartilhamento de materiais educacionais sobre segurança da
informação.
Art. 16. Todos os contratos de
prestação de serviços firmados pelo
Ministério conterão cláusula específica sobre a obrigatoriedade de atendimento às
diretrizes
desta
Política
de
Segurança da
Informação,
bem
como
das
normas
decorrentes da Política.
CAPÍTULO V
DA PROTEÇÃO DE DADOS PESSOAIS
Art. 17. O Ministério compromete-se a proteger os dados pessoais sob sua
custódia, em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD).
Art. 18. São diretrizes para a proteção de dados pessoais:
I - coletar apenas os dados pessoais necessários para o desempenho das
atividades que competem ao Ministério;
II - obter consentimento dos titulares dos dados, quando aplicável;
III - assegurar que os dados pessoais sejam utilizados exclusivamente para
os fins para os quais foram coletados;
IV - implementar medidas técnicas e administrativas para proteger os dados
pessoais contra acessos não autorizados e incidentes; e
V - garantir que os titulares dos dados possam exercer seus direitos,
conforme previsto na LGPD.
CAPÍTULO VI
DAS VEDAÇÕES
Art. 19. É proibida a utilização dos recursos de tecnologia da informação
disponibilizados pelo Ministério da Previdência Social para acesso, guarda e divulgação
de material incompatível com ambiente do serviço, que viole direitos autorais ou que
infrinja a legislação vigente.
Art. 20. São vedados o uso e a instalação de recursos de tecnologia da
informação que não tenham sido homologados ou adquiridos pelo Ministério da
Previdência Social.
Art. 21. É vedada a divulgação a terceiros de mecanismos de identificação,
autenticação e autorização baseados em conta e senha ou certificação digital, de uso
pessoal e intransferível, que são fornecidos aos usuários.
Art. 22. É vedada a exploração de eventuais vulnerabilidades, as quais
devem ser comunicadas às instâncias superiores assim que identificadas.
Art. 23. É vedado o uso de ferramentas de Inteligência Artificial (IA) não
autorizadas, a fim de mitigar riscos de vazamento de dados pessoais ou restritos.
CAPÍTULO VII
DAS PENALIDADES
Art. 24. A não observância do disposto nesta Política, bem como em seus
instrumentos normativos correlatos, sujeita o infrator à aplicação de sanções
administrativas conforme a legislação vigente, incluindo a Lei Geral de Proteção de
Dados Pessoais (LGPD), sem prejuízo das responsabilidades penal e civil, assegurados
sempre aos envolvidos o contraditório e a ampla defesa.
CAPÍTULO VIII
DA VIGÊNCIA E REVISÃO
Art. 25. A periodicidade da revisão da Política de Segurança da Informação
não deve exceder três anos, podendo ser revisada a qualquer momento a critério do
Comitê de Governança Digital e Segurança da Informação, considerando mudanças
tecnológicas, novas ameaças cibernéticas e atualizações regulatórias.
CAPÍTULO IX
DAS DISPOSIÇÕES FINAIS
Art. 26. As dúvidas sobre a Política de Segurança da Informação e seus
documentos devem ser submetidas ao Comitê de Governança Digital e Segurança da
Informação.
WOLNEY QUEIROZ MACIEL
PORTARIA MPS Nº 1.158, DE 19 DE MAIO DE 2025
Institui a Equipe de
Prevenção, Tratamento e
Resposta a Incidentes Cibernéticos do Ministério da
Previdência social.
O MINISTRO DE ESTADO DA PREVIDÊNCIA SOCIAL, no uso das atribuições que
lhe conferem os incisos I e II do art. 87 da Constituição Federal, e no art. 15 do Decreto
nº 9.637, de 26 de dezembro de 2018, resolve:
DA
EQUIPE
DE
PREVENÇÃO, TRATAMENTO
E
RESPOSTA
A
INCIDENTES
C I B E R N É T I CO S
Art. 1º Fica instituída a Equipe de Prevenção, Tratamento e Resposta a
Incidentes Cibernéticos do Ministério da Previdência Social (ETIR/MPS).
D E F I N I ÇÕ ES
Art. 2º Os conceitos e definições estabelecidos nesta Portaria pautam-se no
glossário de segurança da informação do Gabinete de Segurança Institucional da
Presidência da República, conforme aprovado na Portaria GSI/PR nº 93, de 2021.
M I S S ÃO
Art. 3º À ETIR compete:
I - facilitar, coordenar e executar as atividades de prevenção, tratamento e
resposta a incidentes cibernéticos no Ministério da Previdência Social em conjunto com
a ETIR do órgão prestador, considerando o modelo de arranjo colaborativo ou centro de
serviços compartilhados; e
II - promover a cooperação com outras equipes, incluindo a participação em
fóruns e redes relativas à segurança da informação.
P Ú B L I CO - A LV O
Art. 4º A ETIR atenderá a todos os usuários de serviços computacionais do
Ministério
da
Previdência
Social,
preferencialmente
por
chamado
registrado
eletronicamente, por meio da Central de Serviços utilizada pelo Ministério ou por
intermédio de recebimento de mensagens eletrônicas para um endereço específico de e-
mail.
Art. 5º A ETIR comunicará a ocorrência de incidente de segurança ao Gestor
de Tecnologia da Informação, ao Gestor de Segurança da Informação, ao proprietário e
ao custodiante do ativo e ao Centro de Prevenção, Tratamento e Respostas a Incidentes
Cibernéticos de Governo, conforme procedimentos a serem definidos pelo próprio
Centro, com vistas a permitir que sejam dadas soluções integradas para a administração
pública federal.
ESTRUTURA ORGANIZACIONAL
Art.
6º
A
ETIR
funcionará
como
grupo
de
trabalho
permanente,
multidisciplinar e de atuação primordialmente reativa.
Art. 7º A ETIR, chefiada pelo Agente Responsável e acompanhada pelo Gestor
de Segurança da Informação, será formada por membros da Coordenação de Tecnologia
da Informação da Secretaria-Executiva, preferencialmente servidores efetivos, que, além
de suas funções regulares, desempenharão as atividades relacionadas ao tratamento e
resposta a incidentes em redes computacionais.
Art. 8º A ETIR será formada por 3 (três) integrantes da Coordenação de
Tecnologia da Informação da Secretaria-Executiva do Ministério da Previdência Social,
sendo um deles designado Agente Responsável.
§ 1º O Agente Responsável, incumbido de chefiar e gerenciar a Equipe de
Prevenção, Tratamento e Resposta a Incidentes Cibernéticos e, os demais integrantes da
ETIR, serão indicados pela Coordenação de Tecnologia da Informação e designados pelo
Secretário-Executivo do Ministério da Previdência Social.
§ 2º Para cada membro da ETIR será designado um substituto, que deverá ser
treinado e orientado para a realização das tarefas e atividades da Equipe de Prevenção,
Tratamento e Resposta a Incidentes Cibernéticos.
§
3º Os
integrantes da
ETIR
exercerão suas
funções regulares,
sem
necessidade de dedicação exclusiva.
Art. 9º. A ETIR se reunirá:
I - ordinariamente, 4 (quatro) vezes ao ano, mediante convocação do Agente
Responsável, sendo preferencialmente uma reunião em cada um dos quatro trimestres
do ano; e
II - extraordinariamente, por convocação do Agente Responsável ou por
solicitação da maioria absoluta dos representantes, mediante correspondência oficial.
§ 1º O quórum de reunião é a maioria absoluta dos membros e o de votação
é maioria dos presentes, em processo nominal e aberto.
§ 2º Os substitutos poderão participar livremente das reuniões, mas somente
terão direito a voto quando estiverem na qualidade de substituto do representante
titular.
§ 3º Na hipótese de empate, além do voto ordinário, o Agente Responsável,
ou seu substituto legal, terá o voto de qualidade.
Art. 10. Os membros do ETIR que se encontrarem no Distrito Federal se
reunirão presencialmente ou por videoconferência, nos termos do disposto no Decreto nº
10.416, de 7 de julho de 2020, e os que se encontrarem em outros entes federativos
participarão da reunião, obrigatoriamente, por meio de videoconferência.
Art. 11. A participação na ETIR é considerada prestação de serviço público
relevante, não remunerada.
AT R I B U I ÇÕ ES
Art. 12. Ao Gestor de Segurança da Informação do Ministério da Previdência
Social, em conformidade com a Norma Complementar nº 05/IN01/DSIC/GSIPR, de 14 de
agosto de 2009, compete prover os meios necessários para a capacitação e o
aperfeiçoamento técnico dos membros da Equipe de Prevenção, Tratamento e Resposta
a Incidentes Cibernéticos e prover a infraestrutura necessária.
Art. 13. Ao Agente Responsável,
em conformidade com a Norma
Complementar nº 05/IN01/DSIC/GSIPR, de 2009, compete:
I - chefiar e gerenciar a Equipe de Prevenção, Tratamento e Resposta a
Incidentes Cibernéticos;
II - ser interface com o Centro de Prevenção, Tratamento e Resposta a
Incidentes Cibernéticos de Governo; e
III - criar os procedimentos internos, gerenciar as atividades e distribuir
tarefas para a Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos.
Art. 14. Aos Integrantes da ETIR compete:
I - receber, analisar, classificar e responder às notificações e às atividades
relacionadas a incidentes de segurança em redes computacionais, além de armazenar
registros para formação de séries históricas como subsídio estatístico; e
II - exercer outras atividades que lhe forem cometidas no seu campo de
atuação.
MODELO DE IMPLEMENTAÇÃO
Art. 15. A ETIR seguirá o Modelo 1 ("Utilizando a equipe de Tecnologia da
Informação"), atuará de forma colaborativa com outras ETIRs governamentais e contará
com a prestação de serviços de tecnologia e segurança da informação, nos casos em que
os ativos estejam em ambiente tecnológico gerenciado pelo órgão prestador, conforme
modelo de arranjo colaborativo ou centro de serviços compartilhados.
§ 1º Nesse modelo, as funções e serviços de tratamento de incidente serão
realizados,
preferencialmente,
por
administradores
de
rede
ou
de
segurança,
administradores de banco de dados, administradores de rede, analistas de suporte ou
quaisquer outras pessoas com conhecimento técnico comprovado na área de segurança
da informação.
§ 2º A ETIR possui autonomia para conduzir seu público-alvo para realizar
ações ou medidas necessárias para reforçar a resposta ou a postura da organização na
recuperação de incidentes de segurança, sem depender de níveis superiores de
gestão.
Art. 16. Durante um incidente de segurança, se houver justificativa, a ETIR
poderá executar as medidas de recuperação, sem esperar pela aprovação de níveis
superiores de gestão.
Art. 17.
Extraordinariamente, o
Agente Responsável
poderá convocar
representantes de outras unidades da Coordenação de Tecnologia da Informação para
atuar em tratamento e resposta de determinado incidente de segurança.
Fechar