O Ministro de Estado dos Transportes, no uso das atribuições legais e tendo em vista o disposto no art. 87, parágrafo único, incisos I e II, da Constituição Federal; e

Considerando o Decreto nº 3.505, de 13.06.2000, que institui a Política de Segurança da Informação nos órgãos e entidades da Administração Pública Federal;

Considerando o Decreto nº 4.553, de 27.12.2002, que dispõe sobre a salvaguarda de dados e informações, documentos e materiais sigilosos de interesse da segurança da sociedade e do Estado;

Considerando a Instrução Normativa nº 01, de 13.06.2008-GSI/PR, que disciplina a Gestão de Segurança da Informação e Comunicações na Administração Pública Federal Direta e Indireta;

Considerando a Norma Complementar nº 02, de 13.10.2008-DSIC/GSI/PR, que define uma metodologia de Gestão de Segurança da Informação e Comunicações; e

Considerando a Norma Complementar nº 03, de 03.06.2009-GSI/PR, que define as diretrizes para a elaboração da Política de Segurança da Informação e Comunicações nos órgãos e entidades da Administração Pública Federal,

Resolve:

Art. 1º Instituir a Política de Segurança da Informação e Comunicações, no âmbito do Ministério dos Transportes - MT, que define o tratamento a ser dispensado às informações armazenadas, processadas ou transmitidas nos ambientes convencional e de tecnologia da informação do MT.

Art. 2º A Política de Segurança da Informação e Comunicações é um documento norteador, contendo diretrizes, critérios e suporte administrativo suficientes à implementação da segurança da informação e comunicações no Ministério dos Transportes.

Art. 3º Para fins da presente Portaria, entende-se por:

I - Gestor de Segurança da Informação e Comunicações: servidor responsável pelas ações de segurança da informação e comunicações, no âmbito do Ministério;

II - Comitê de Segurança da Informação e Comunicações: grupo de pessoas com a responsabilidade de assessorar a implementação das ações de segurança da informação e comunicações, no âmbito do Ministério; e

III - Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais: grupo de pessoas com a responsabilidade de receber, analisar e responder a notificações e atividades relacionadas a incidentes de segurança em computadores no ambiente do Ministério.

Art. 4º As ações relacionadas com a Segurança da Informação e Comunicações no Ministério dos Transportes são norteadas pelos seguintes princípios:

I - responsabilidade: todos os servidores do MT são responsáveis pelo tratamento da informação e pelo cumprimento das normas de segurança da informação e comunicações;

II - conhecimento: os servidores, os colaboradores, os consultores externos, os estagiários e os prestadores de serviço no MT tomarão ciência de todas as normas de segurança da informação e comunicações, para o pleno desempenho de suas atribuições;

III - legalidade: as ações de segurança da informação e comunicações levarão em consideração as leis, normas e as políticas organizacionais, administrativas, técnicas e operacionais do MT, formalmente estabelecidas; e

IV - proporcionalidade: o nível, a complexidade e os custos das ações de segurança da informação e comunicações no MT serão adequados ao entendimento administrativo e ao valor do ativo a proteger.

Art. 5º Os servidores, colaboradores, consultores externos, estagiários e prestadores de serviço no Ministério dos Transportes, devem observar que:

I - a informação é um patrimônio do órgão responsável pela sua produção e o seu acesso não garante direito sobre as mesmas, assim como não confere autoridade para liberar o acesso a outros;

II - o acesso à informação é regulamentado por normas específicas e a confidencialidade dessa informação deve ser mantida durante todo o processo de uso, podendo ter níveis diferentes ao longo da sua vida útil;

III - as ações para garantir a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações, dos serviços, dos sistemas de informação e dos recursos computacionais devem considerar os critérios relativos à gestão de riscos e à gestão de continuidade dos negócios;

IV - o recebimento e a instalação de recursos computacionais, especialmente os software homologados, somente podem ser realizados por pessoal credenciado pela Coordenação-Geral de Modernização e Informática, sendo vedada a utilização de software não homologado;

V - a aquisição ou contratação de serviços relativos a recursos computacionais deve ser precedida de estudo e análise prévios, por parte da Coordenação-Geral de Modernização e Informática - CGMI, bem como a inclusão de cláusulas contratuais de segurança e de trilhas de auditoria;

VI - as credenciais de acesso (login e senha) e os recursos computacionais devem ser utilizados em conformidade com as normas específicas, em vigor; e

VII - os recursos computacionais do MT não podem ser utilizados para:

a) constranger, assediar ou ameaçar qualquer pessoa;

b) tentar, permitir ou causar alteração ou destruição de ambientes operacionais, dados ou equipamentos de processamento ou comunicação;

c) proporcionar benefícios financeiros próprios ou de terceiros;

d) introduzir códigos maliciosos nos sistemas de informática;

e) divulgar ou comercializar produtos, itens ou serviços;

f) tentar ou interferir, sem autorização, em um sistema, programa ou serviço; sobrecarregá-lo ou, ainda, desativá-lo, inclusive aderindo ou cooperando com ataques, internos ou externos, de negação de serviços;

g) acessar indevidamente dados, sistemas ou redes, incluindo qualquer tentativa de investigar, examinar ou testar vulnerabilidades nos sistemas de informática, exceto quando autorizado pelo Gestor de Segurança da Informação, com o objetivo de realizar a gestão dos recursos de tratamento de incidentes;

h) monitorar ou interceptar o tráfego de informações nos sistemas de Tecnologia da Informação;

i) violar medidas de segurança ou de autenticação;

j) fornecer informações a terceiros, sobre usuários ou serviços disponibilizados nos sistemas, exceto mediante autorização de autoridade competente;

k) o armazenamento ou o uso de jogos em computador; e

l) o entretenimento durante o período de expediente.

Art. 6º O descumprimento ou violação de itens desta Portaria acarretará a aplicação de sanções administrativas, civis e penais.

Art. 7º A representatividade no MT do Sistema de Gestão de Segurança da Informação e Comunicações, foi instituída pela Portaria/GM/MT nº 118, de 24.06.2009, publicada no DOU nº 119, de 25.06.2009, ficando sob a responsabilidade do Comitê Gestor de Segurança da Informação e Comunicações, com as seguintes competências:

I - promover a cultura de segurança da informação e comunicações, no âmbito do MT;

II - planejar e coordenar as ações de segurança da informação e comunicações, no âmbito do Ministério;

III - propor normas específicas de segurança da informação e comunicações;

IV - acompanhar as investigações e as avaliações dos danos decorrentes de quebras de segurança;

V - propor recursos necessários às ações de segurança da informação e comunicações; e

VI - realizar e acompanhar novas tecnologias, quanto a possíveis impactos na segurança da informação e comunicações.

Art. 8º Todos os instrumentos normativos gerados a partir desta Portaria serão revisados, sempre que se fizer necessário, não devendo exceder o período máximo de 01 (um) ano.

Art. 9º Os casos omissos e as dúvidas surgidas na aplicação desta Portaria serão analisados, dirimidos ou solucionados pelo Comitê Gestor de Segurança da Informação e Comunicações.

Art. 10. Esta Portaria entra em vigor na data de sua publicação.

PAULO SÉRGIO PASSOS