O MINISTRO DE ESTADO DA AGRICULTURA, PECUARIA E ABASTECIMENTO, no uso da competência estabelecida no art. 5º, inciso VII, da Instrução Normativa GSI nº 1, de 13 de junho de 2008, tendo em vista os dispostos na Portaria nº 33, de 13 de outubro de 2008, e na Portaria nº 34, de 13 de outubro de 2008,

Resolve:

Art. 1º Aprovar a política de segurança da informação e comunicações no âmbito do Ministério da Agricultura, Pecuária e Abastecimento (MAPA).

Parágrafo único. Aplica-se esta política, no que couber, também no relacionamento do MAPA com outros 6rgaos públicos ou entidades privadas.

Art. 2º Para fins desta Portaria, entende-se por:

I - informação: e um ativo essencial para os negócios de uma organização e, por conseqüência, necessita ser adequadamente gerenciada e protegida independentemente de seu formato e meio;

II - segurança das informações e comunicações: e a proteção contra ameaças visando garantir a continuidade do negócio da organização, minimizar os riscos, maximizar o retorno e as oportunidades de negócio, obtida a partir da implementação de um conjunto de controles adequados, incluindo: políticas, processos, normas, procedimentos e estruturas organizacionais, que precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados;

III - Comitê de Segurança da Informação e Comunicações (CSI): e a unidade responsável pela manutenção e controle da política de segurança da informação e comunicações do MAPA;

IV - finalidade:

a) o estabelecimento dos direcionamentos e valores adotados para a gestão da segurança da informação no âmbito do MAPA, o apoio conceitual na adoção de soluções integradas e específicas de segurança da informação adequada às responsabilidades, funcionalidades e peculiaridades de cada uma de suas áreas funcionais;

b) a descrição da conduta adequada para o tratamento da informação em todo o seu ciclo de vida (criação, manuseio, armazenamento, transporte e descarte) por meio de diretrizes para a segurança da informação do MAPA que visam preservar a integridade, confidencialidade e disponibilidade das informações; e

c) o estabelecimento das diretrizes da política de segurança da informação e comunicações no MAPA a serem aplicadas tanto no ambiente informatizado quanta nos meios convencionais de processamento, comunicação e armazenamento da informação.

V - Agente Público: toda pessoa que, por força de lei, contrato ou de qualquer outro ato jurídico, preste serviços de natureza permanente, temporária, excepcional ou eventual no MAPA;

VI - público-alvo: todos os Agentes Públicos, que direta ou indiretamente, possuem acesso as informações do MAPA;

VII - diretrizes de segurança da informação e comunicações: as ações que definem, em nível estratégico, a Política de Segurança da Informação e Comunicações do MAPA (PSIC/MAPA), visando preservar a disponibilidade, integridade e confidencialidade das informações da Instituição.

VIII - patrimônio da instituição: toda informação criada, comunicada, manuseada, armazenada, transportada ou descartada pelos agentes públicos, no exercício de suas atividades junto ao MAPA, portanto, devendo ser adequadamente protegida, segundo as diretrizes descritas nesta Portaria e demais regulamentações em vigor; e

IX - classificação da informação: o processo de classificação, em consonância com a legislação vigente, que busca estabelecer o controle de segurança devido a cada informação tratada ou custodiada pelo MAPA ao longo do seu ciclo de vida.

Art. 3º As diretrizes de segurança da informação e comunicações previstas nesta Portaria são aplicadas ao ambiente do MAPA, a todos os agentes públicos que tenham acesso as informações e aos recursos computacionais da Instituição.

§ 1º As diretrizes referidas no caput, serão:

I - difundidas a todos os Agentes Públicos do MAPA por processo permanente de conscientização de segurança da informação; e

II - periodicamente avaliadas, revisadas e analisadas criticamente pelo CSI/MAPA, visando a sua aderência e concordância aos objetivos institucionais deste Ministério e as legislações vigentes.

§ 2º Cabe ao Agente Publico do MAPA conhecer e zelar pelo cumprimento das diretrizes, onde a desobediência implica nas sanções administrativas previstas em leis e regulamentações internas.

Art. 4º Todos os Agentes Públicos do MAPA são responsáveis pela segurança dos ativos de informação e comunicações que estejam sob a sua responsabilidade e por todos os atos executados com suas identificações, tais como: login, crachá, carimbo, endereço de correio eletrônico ou assinatura digital.

Parágrafo único. A identificação do Agente Público, qualquer que seja o meio e a forma, deve ser pessoal e intransferível, permitindo de maneira clara e inequívoca o seu reconhecimento.

Art. 5º Devera existir uma estrutura organizacional de gestão da segurança da informação no MAPA, formalmente instituída e refletida no Regimento Interno, com a responsabilidade de executar os processos de segurança da informação.

Art. 6º As informações criadas, comunicadas, manuseadas, armazenadas, transportadas ou descartadas serão classificadas quanto aos aspectos de confidencialidade, integridade e disponibilidade, de forma explícita ou implícita, e deve:

I - auxiliar a alta administração do MAPA na priorização de ações e investimentos com vistas à correta aplicação de mecanismos de proteção; e

II - ser realizada com base nas exigências das estratégias e necessidades operacionais prioritárias do MAPA, considerando as implicações que determinado grau de segurança poderá trazer ao seu cumprimento.

Art. 7º O Agente Público deve ser capaz de identificar a classificação atribuída a uma informação e, a partir desta classificação, conhecer restrições de acesso e de divulgação associadas e obedecê-las.

Art. 8º A autorização, o acesso e o uso das informações e dos recursos computacionais devem ser controlados e limitados ao necessário, considerando as atribuições de cada Agente Publico, onde qualquer outra forma de uso ou acesso além do necessário requer previa autorização do gestor da área responsável pela informação.

§ 1º Todo sistema de informação do MAPA, automatizado ou não, deve ter um responsável formalmente designado pela autoridade competente.

§ 2º Os privilégios de acesso às informações devem ser definidos pelo gestor da área responsável pela informação.

§ 3º Sempre que houver mudança nas atribuições de determinado Agente Publico, os seus privilégios de acesso às informações e aos recursos computacionais devem ser adequados imediatamente, devendo ser cancelados em caso de desligamento do MAPA.

Art. 9º O MAPA deve implementar, manter e testar periodicamente processo de gestão da continuidade de negócios visando reduzir, para um nível aceitável, a possibilidade de interrupção causada por desastres ou incidentes de segurança que afetem seus ativos de informação e comunicações.

Art. 10. O MAPA deve implementar e manter processo de gestão de riscos com vistas a minimizar possíveis impactos associados aos ativos de informação e comunicações, onde esse processo deve possibilitar a seleção e priorização dos ativos a serem protegidos, bem como a definição e implementação de controles para a identificação e tratamento de possíveis problemas de segurança.

Parágrafo único. As medidas de proteção devem ser planejadas e os custos na aplicação de controles devem ser balanceados de acordo com os danos potenciais de falhas de segurança.

Art. 11. O uso dos recursos computacionais e de informações disponibilizadas pelo MAPA, será monitorado, respeitando os princípios legais, para tanto, devem ser implementados e mantidos, sempre que possível, mecanismos que permitam a rastreabilidade desse uso.

Parágrafo único. A entrada e a saída de ativos de informação nas dependências do MAPA devem ser autorizadas e registradas por autoridade competente.

Art. 12. Os objetivos das ações a serem implementadas, com base nas diretrizes da política de segurança da informação e comunicações estabelecidas nesta Portaria, são a salvaguarda dos dados, informações e materiais sigilosos de interesse do MAPA e do Estado Brasileiro, bem como dos sistemas computacionais e das áreas e instalações onde tramitam, alem da preservação da inviolabilidade e da intimidade da vida privada, da honra e da imagem das pessoas.

Art. 13. O MAPA, além das diretrizes estabelecidas nesta Portaria, deve também, se orientar pelas melhores praticas e procedimentos de segurança da informação, recomendados por órgãos e entidades publicas e privadas responsáveis pelo estabelecimento de padrões.

Art. 14. O CSI/MAPA e a instancia competente para dirimir eventuais dúvidas e deliberar sobre assuntos relativos à política de segurança da informação e comunicações deste Ministério.

Parágrafo único. Os membros do CSI/MAPA, devem receber regularmente capacitação especializada na disciplina segurança da informação.

Art. 15. O MAPA deve, com base nesta política de segurança da informação e comunicações, identificar as necessidades de normatização especifica para segurança de seus processos e procedimentos operacionais e propor ao CSI/MAPA a edição de respectivas Resoluções.

Parágrafo único. As Resoluções editadas pelo CSI/MAPA deverão ser cumpridas pelos servidores públicos, agentes públicos terceirizados, empregados, consultores, estagiários e demais colaboradores internos, externos ou eventuais.

Art. 16. As medidas de proteção da informação devem ser planejadas e aplicadas pela área competente em consonância com o CSI/MAPA, e devem estar de acordo com os objetivos, as estratégias e necessidades operacionais deste Ministério, respeitando a avaliação dos riscos e a analise de custo e beneficio para a continuidade de suas atividades.

Art. 17. Os recursos computacionais disponibilizados pelo MAPA devem ser utilizados estritamente dentro do seu propósito, sendo vedados para usos próprio ou de terceiro, entretenimento, veiculação de opiniões político-partidárias ou religiosas.

Art. 18. E proibido comprometer a integridade, a confidencialidade ou a disponibilidade das informações criadas, manuseadas, armazenadas, transportadas, descartadas ou custodiadas pelo MAPA.

§ 1º O gestor da área na qual a informação e criada quando cedida a outrem, sempre que necessário, e assessorado juridicamente, deve providenciar a documentação relativa à cessão de direitos sobre as informações do MAPA, antes da sua disponibilização.

§ 2º Nos casos de obtenção de informações de terceiros, o gestor da área na qual a informação será utilizada deve, se necessário, providenciar junto ao cedente a documentação formal relativa à cessão de direitos sobre informações de terceiros antes de seu uso.

Art. 19. O Agente Público deve comunicar os incidentes que afetam a segurança dos ativos de informação e comunicações ou o descumprimento da PSIC a Subsecretaria de Planejamento, Orçamento e Administração (SPOA).

Art. 20. Em caso de quebra de segurança da informação por meios eletrônicos, a Coordenação-Geral de Tecnologia da Informação (CGTI) devera ser imediatamente acionada para adotar as providências necessárias, podendo inclusive determinar a restrição temporária do acesso as informações e aos recursos computacionais do MAPA.

Art. 21. Os contratos firmados pelo MAPA devem conter clausulas que determinem a observância da política disposta nesta Portaria e suas respectivas normas.

Art. 22. Esta Portaria entra em vigor na data de sua publicação.

REINHOLD STEPHANES