A MINISTRA DE ESTADO CHEFE DA CASA CIVIL DA PRESIDÊNCIA DA REPÚBLICA, no uso de suas atribuições e tendo em vista o disposto no Decreto nº 5.135, de 7 de julho de 2004,

Resolve:

Art. 1º Fica instituída a Política de Segurança da Tecnologia da Informação da Presidência da República, da qual são parte integrante as normas e procedimentos complementares e afins editados pelos órgãos ou entidades integrantes da Presidência da República.

Art. 2º A Política de Segurança da Tecnologia da Informação da Presidência da República possui como finalidade estabelecer ações para garantir a disponibilidade, integridade, confidencialidade e autenticidade das informações em meio computacional.

Art. 3º A Política de Segurança da Tecnologia da Informação da Presidência da República aplica-se a todos aqueles autorizados a fazerem uso dos recursos da Tecnologia da Informação - TI, no âmbito das redes de computadores da Presidência da República, administradas pela Diretoria de Tecnologia da Informação - DIRTI, nos termos de norma específica.

§ 1º Aplica-se ainda esta política, no que couber, ao relacionamento da Presidência da República com outros órgãos públicos ou entidades públicas ou privadas.

§ 2º Os mecanismos utilizados para proteção da segurança da informação devem ser mantidos de forma a preservar a continuidade de seus negócios.

Art. 4º Os instrumentos normativos gerados no âmbito da Política de Segurança da Tecnologia da Informação da Presidência da República devem ser revisados sempre que se fizerem necessários, e, no mínimo, a cada ano.

Parágrafo único. Deverão ser mantidos controles de versões e revisões.

Art. 5º As ações desenvolvidas no âmbito da Política de Segurança da Tecnologia da Informação da Presidência da República serão norteadas pelos seguintes princípios:

I - Clareza: as responsabilidades pela segurança dos ativos de TI da Presidência da República e pelo cumprimento de processos de segurança devem ser claramente definidas;

II - Responsabilidade: os servidores, colaboradores, consultores externos, estagiários e prestadores de serviço devem ter ciência de todas as normas e procedimentos de Segurança da Tecnologia da Informação;

III - Ética: todos os direitos e interesses legítimos dos servidores, colaboradores, consultores externos, estagiários, prestadores de serviço e visitantes devem ser respeitados sem comprometimento da segurança;

V - Proporcionalidade: o nível, a complexidade e os custos das ações de segurança de TI devem ser apropriados e adequados ao valor e à necessidade de confiança nos ativos da Presidência da República, considerando os impactos e a probabilidade de ocorrência dos riscos;

VI - Integração: as ações de segurança de TI devem ser integradas com as demais ações da Presidência da República; e

VII - Celeridade: as ações de segurança de TI devem oferecer respostas a incidentes e correções de falhas de segurança o mais rápido possível.

Art. 6º As ações desenvolvidas no âmbito da Política de Segurança da Tecnologia da Informação da Presidência da República deverão observar as seguintes normas específicas:

I - as normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002, que instituem o código de melhores práticas para gestão de segurança da informação;

II - a Resolução nº 7, de 29 de julho de 2002, que estabelece regras e diretrizes para os sítios na Internet da Administração Pública Federal; e

III - a Instrução Normativa GSI nº 1, de 13 de Junho de 2008, que disciplina a Gestão da Segurança da Informação e Comunicações na Administração Pública Federal.

Art. 7º Os servidores da Presidência da República devem observar e adotar as ações de segurança em TI.

Art. 8º Compete à Secretaria de Administração, por meio da DIRTI:

I - implementar normas de segurança de TI em cumprimento a esta política;

II - manter contatos com autoridades legais, organismos reguladores e provedores de serviço de informação, de forma a garantir que ações adequadas e apoio especializado possam ser rapidamente acionados na ocorrência de incidentes de segurança em redes computacionais da Presidência da República;

III - proteger os dados, as informações, os sistemas de informação da Presidência da República sob sua guarda, e os meios, também pertencentes à Presidência da República, utilizados para seu armazenamento, processamento e transmissão, contra ameaças e ações não autorizadas, de modo a reduzir riscos de utilização indevida e garantir sua disponibilidade, integridade, confidencialidade e autenticidade;

IV - manter registro dos arquivos enviados por e-mail, copiados ou executados pelos usuários através de dispositivos removíveis, tais como CD, DVD, pendrive ou disco rígido externo;

V - implementar planos de contingência, recuperação de desastres e continuidade, periodicamente testados, para garantir a não interrupção das atividades críticas e o retorno à situação de normalidade; e

VI - instituir equipe de tratamento e resposta a incidentes da rede de computadores da Presidência da República.

Art. 9º Os servidores devem ser continuamente capacitados nos procedimentos de segurança que envolvam o uso da Tecnologia da Informação, de forma a minimizar ocorrência de problemas de segurança, sem prejuízo das normas específicas e internas sobre capacitação.

Art. 10. Os recursos de Tecnologia da Informação, de propriedade da Presidência da República, são fornecidos para uso corporativo, para os fins a que se destinam e no interesse da administração.

Parágrafo único. É considerada imprópria a utilização destes recursos para propósitos particulares ou não autorizados.

Art. 11. Esta Portaria entra em vigor na data de sua publicação.

DILMA ROUSSEFF