O Ministro de Estado do Esporte no uso de suas atribuições,

Resolve:

Art. 1º Aprovar, no âmbito do Ministério do Esporte, a Política de Segurança da Informação e Comunicações (POSIC), conforme Anexo desta Portaria.

Art. 2º Esta Portaria entra em vigor na data da sua publicação.

ORLANDO SILVA

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES DO MINISTÉRIO DO ESPORTE

1 Escopo

1.1 A Política de Segurança da Informação e Comunicações (POSIC) é uma declaração formal acerca do compromisso com a proteção das informações de sua propriedade e/ou sob sua guarda. Seu propósito é direcionar o Ministério do Esporte no que diz respeito à gestão dos riscos e do tratamento dos incidentes de Segurança da Informação e Comunicações (SIC), por meio da adoção de procedimentos e mecanismos, que visam a eliminação ou redução de ocorrência de modificações não autorizadas (confidencialidade, integridade e autenticidade), bem como a disponibilidade de recursos e sistemas críticos para garantir a continuidade dos negócios do Ministério do Esporte, em conformidade com a legislação vigente, normas pertinentes, requisitos regulamentares e contratuais, valores éticos e as melhores práticas de SIC.

1.2 Objetivo

1.2.1 A POSIC objetiva instituir diretrizes estratégicas, responsabilidades e competências, visando assegurar a disponibilidade, integridade, confidencialidade e autenticidade dos dados, informações, documentos e conhecimentos produzidos, armazenados ou transmitidos, por qualquer meio dos sistemas de informação do Ministério do Esporte, contra ameaças e vulnerabilidades, de modo a preservar os seus ativos, inclusive sua imagem institucional.

1.2.2 Além disso, objetiva estabelecer o comprometimento da alta direção organizacional do Ministério, com vistas a prover apoio para implementação da Gestão de Segurança da Informação e Comunicações (GESIC), e estabelecer um ambiente seguro, proporcionando melhor qualidade nos processos de gestão e controle dos sistemas de informação e informática.

1.3 Abrangência

Esta POSIC se aplica a todas as unidades da estrutura regimental do Ministério do Esporte, incluindo os Órgãos Colegiados e as entidades vinculadas e deverá ser aplicada às atividades de todos os usuários autorizados a acessar os ativos de informação do Ministério do Esporte ou a utilizar quaisquer de seus recursos de Tecnologia da Informação.

2 Conceitos e Definições

2.1 A informação é um ativo essencial para os negócios do Ministério do Esporte e consequentemente necessita ter uma proteção adequada, em especial nos ambientes interconectados onde é crescente o número e a variedade de ameaças e vulnerabilidades.

2.2 A estrutura normativa da SIC do Ministério do Esporte será composta por um conjunto de documentos com dois níveis hierárquicos distintos, relacionados a seguir:

a) Política de Segurança da Informação e Comunicações (POSIC): Define a estrutura, as diretrizes e as obrigações referentes à SIC.

b) Normas de Segurança da Informação e Comunicações (NORSIC): Estabelecem responsabilidades e procedimentos definidos de acordo com as diretrizes da POSIC. Tem como objetivos:

-Definir regras e instrumentos de controle para assegurar a conformidade de processos, produtos ou serviços;

-proporcionar meios mais eficientes na troca de informações, melhorando a confiabilidade das atividades públicas e dos serviços prestados pelo Ministério do Esporte; e

-evitar a existência de regulamentos conflitantes sobre processos, produtos ou serviços.

2.3 Para os fins desta Política, considera-se:

a) Ameaça: Conjunto de fatores externos ou causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou para o Ministério do Esporte.

b) Ativos de informação: Os meios de armazenamento, transmissão e processamento de informação, os sistemas de informação, bem como os locais onde se encontram esses meios, as pessoas que a eles têm acesso, a imagem institucional, os serviços e tudo aquilo que tem valor para o Ministério do Esporte e que esteja relacionado com a informação e comunicações.

c) Contas de acesso: Permissões concedidas por autoridade competente do Ministério do Esporte após o processo de credenciamento, que habilitam determinada pessoa, sistema ou organização ao acesso. A credencial pode ser física, como crachá, cartão, selo ou lógica para identificação de usuários.

d) Governança de TI: É de responsabilidade dos executivos e da alta direção, consistindo em aspectos de liderança, estrutura organizacional e processos que garantam que a área de TI da organização suporte e aprimore os objetivos e as estratégias da organização. (IT Governance Institute - ITGI, 2007, p. 7)

e) Incidente de segurança: Qualquer evento adverso, confirmado ou sob suspeita, ou ocorrência que promova uma ou mais ações tendentes a comprometer ou ameaçar a disponibilidade, a integridade, confidencialidade ou a autenticidade de qualquer ativo de informação do Ministério do Esporte.

f) Plano de Continuidade de Negócios: documentação dos procedimentos e informações necessárias para que os órgãos ou entidades da Administração Pública Federal mantenham seus ativos de informação críticos e a continuidade de suas atividades críticas em local alternativo num nível previamente definido, em casos de incidentes.

g) Plano de Gerenciamento de Incidentes: plano de ação claramente definido e documentado, para ser usado quando ocorrer um incidente que basicamente cubra as principais pessoas, recursos, serviços e outras ações que sejam necessárias para implementar o processo de gerenciamento de incidentes.

h) Plano de Recuperação de Desastres: documentação dos procedimentos e informações necessárias para que o órgão ou entidade da Administração Pública Federal operacionalize o retorno das atividades críticas à normalidade.

i) Quebra de segurança: Ação ou omissão, intencional ou acidental, que resulta no comprometimento da SIC do Ministério do Esporte.

j) Resiliência: Poder de recuperação ou capacidade de enfrentamento ágil de situações inesperadas e de superação das adversidades para restabelecer processo de normalidade do Ministério do Esporte e resistir aos efeitos de um incidente.

k) Segurança da Informação e Comunicações (SIC): Ações que objetivam viabilizar e assegurar a disponibilidade, integridade, confidencialidade e autenticidade das informações, abrangendo não só aspectos tecnológicos, mas também recursos humanos e processos.

l) Tecnologia da Informação (TI): Conjunto de todas as atividades e soluções providas por recursos de computação. Serve para designar o conjunto de recursos tecnológicos e computacionais para geração e uso da informação. Este termo é comumente utilizado para designar o conjunto de recursos não humanos dedicados ao armazenamento, processamento e comunicação da informação, bem como o modo como esses recursos estão organizados em um sistema capaz de executar um conjunto de tarefas.

m) Usuário: Servidores, agentes públicos, terceirizados, colaboradores, consultores, auditores e estagiários que obtiveram autorização do responsável pela área interessada de acesso aos Ativos de Informação do Ministério do Esporte, formalizada por meio da assinatura do Termo de Responsabilidade.

n) Vulnerabilidade: Qualquer fragilidade dos sistemas computacionais e redes de computadores que permita a exploração maliciosa e acessos indesejáveis ou não autorizados. Também definida como conjunto de fatores internos ou causa potencial de um incidente indesejado, que pode resultar em risco para um ativo ou sistema e pode ser evitado por uma ação interna de SIC.

3 Referências Legais e Normativas

As ações de SIC do Ministério do Esporte deverão observar os seguintes requisitos legais e normativos:

a) Lei nº 8.112, de 11 de dezembro de 1990, que dispõe sobre o regime jurídico dos servidores públicos civis da União, das autarquias e das fundações públicas federais.

b) Decreto nº 3.505, de 13 de junho de 2000, que institui a Política de Segurança da Informação nos órgãos e entidades da Administração Pública Federal.

c) Lei nº 9.983, de 14 de julho de 2000, que dispõe sobre a responsabilidade administrativa, civil e criminal de usuários que cometam irregularidades em razão do acesso a dados, informações e sistemas informatizados da Administração Pública.

d) Decreto nº 4.553, de 27 de dezembro de 2002, que dispõe sobre a salvaguarda de dados, informações, documentos e materiais sigilosos de interesse de segurança da sociedade e do Estado, no âmbito da Administração Pública Federal, e dá outras providências.

e) Decreto nº 5.482, de 30 de junho de 2005, que dispõe sobre a divulgação de dados e informações pelos órgãos e entidades da administração pública federal, por meio da Rede Mundial de Computadores (Internet).

f) Norma ABNT NBR/ISO/IEC 27002:2005, que institui o código de melhores práticas para Gestão de Segurança da Informação e Comunicações.

g) Norma ABNT NBR/ISO/IEC 27001:2006, que estabelece os elementos de um Sistema de Gestão de Segurança da Informação e Comunicações.

h) Portaria Interministerial MCT/MPOG nº 140, de 16 de março de 2006, que disciplina a divulgação de dados e informações pelos órgãos e entidades da Administração Pública Federal, por meio da rede mundial de computadores (Internet) e dá outras providências.

i) Norma ABNT NBR/ISO/IEC 15999:2007, que institui o código de melhores práticas para Gestão de continuidade de negócios.

j) Decreto nº 6.029, de 1º de fevereiro de 2007, que institui o Sistema de Gestão da Ética do Poder Executivo Federal, e dá outras providências.

k) Norma ABNT NBR ISO/IEC 27005:2008, que fornece as diretrizes para a Gestão de Riscos de Segurança da Informação e Comunicações.

l) Instrução Normativa GSI/PR Nº 1, de 13 de junho de 2008, que disciplina a Gestão de Segurança da Informação e Comunicações na Administração Pública Federal, direta e indireta, e dá outras providências.

m) Norma Complementar nº 01/IN01/DSIC/GSI/PR, de 13 de outubro de 2008, que estabelece critérios e procedimentos para elaboração, atualização, alteração, aprovação e publicação de normas complementares sobre Gestão de Segurança da Informação e Comunicações, no âmbito da Administração Pública Federal, direta e indireta.

n) Norma Complementar nº 02/IN01/DSIC/GSI/PR, de 13 de outubro de 2008, que define a metodologia de Gestão de Segurança da Informação e Comunicações utilizada pelos órgãos e entidades da Administração Pública Federal, direta e indireta.

o) Norma Complementar nº 03/IN01/DSIC/GSI/PR, de 30 de junho de 2009, que estabelece diretrizes, critérios e procedimentos para elaboração, institucionalização, divulgação e atualização da Política de Segurança da Informação e Comunicações (POSIC) nos órgãos e entidades da Administração Pública Federal, direta e indireta.

p) Norma Complementar nº 04/IN01/DSIC/GSI/PR, de 14 de agosto de 2009, que estabelece diretrizes para o processo de Gestão de Riscos de Segurança da Informação e Comunicações (GRSIC) nos órgãos ou entidades da Administração Pública Federal, direta e indireta.

q) Norma Complementar nº 05/IN01/DSIC/GSI/PR, de 14 de agosto de 2009, que disciplina a criação de Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais (ETIR) nos órgãos e entidades da Administração Pública Federal, direta e indireta.

r) Norma Complementar nº 06/IN01/DSIC/GSI/PR, de 11 de novembro de 2009, que estabelece diretrizes para Gestão de Continuidade de Negócios, nos aspectos relacionados à Segurança da Informação e Comunicações, nos órgãos e entidades da Administração Pública Federal, direta e indireta.

s) Norma Complementar nº 07/IN01/DSIC/GSI/PR, de 06 de maio de 2010, que estabelece diretrizes para implementação de controles de acesso relativos à Segurança da Informação e Comunicações nos órgãos e entidades da Administração Pública Federal, direta e indireta.

t) Norma Complementar nº 08/IN01/DSIC/GSI/PR, de 19 de agosto de 2010, que Estabelece as Diretrizes para Gestão de Incidentes em Redes Computacionais nos órgãos e entidades da Administração Pública Federal.

4 Princípios

As ações relacionadas com a SIC no Ministério do Esporte são norteadas pelos seguintes princípios, assim definidos:

a) Autenticidade: Garantia de que a informação foi produzida, expedida, modificada ou destruída dentro de preceitos legais e normativos, por pessoa física, ou por sistema, órgão ou entidade vinculado ao Ministério do Esporte.

b) Celeridade: As ações de SIC devem oferecer respostas rápidas a incidentes e falhas de segurança.

c) Confidencialidade: Garantia de que a informação não esteja disponível ou revelada à pessoa física, sistema, órgão ou entidade não autorizada pelo Ministério do Esporte.

d) Conhecimento: Os usuários devem conhecer e respeitar as POSIC, NORSIC e demais regulamentações sobre SIC do Ministério do Esporte.

e) Clareza: As regras de SIC, documentação e comunicações devem ser precisas, concisas e de fácil entendimento.

f) Disponibilidade: Garantia de que a informação esteja acessível e utilizável sob demanda por uma pessoa física ou determinado sistema, órgão ou entidade vinculada ao Ministério do Esporte.

g) Ética: Os direitos e interesses legítimos dos usuários devem ser preservados, sem comprometimento da SIC.

h) Integridade: Garantia de que a informação não foi modificada ou destruída de maneira não autorizada ou acidental, seja na sua origem, no trânsito e no seu destino.

i) Legalidade: As ações de segurança devem levar em consideração as atribuições regimentais, bem como as leis, normas e políticas organizacionais, administrativas, técnicas e operacionais do Ministério Esporte.

j) Privacidade: Garantia ao direito pessoal e coletivo, à intimidade e ao sigilo da correspondência e das comunicações individuais.

k) Publicidade: Transparência no trato da informação, observados os critérios legais.

l) Responsabilidade: As responsabilidades primárias e finais pela segurança dos ativos do Ministério do Esporte e pelo cumprimento de processos de segurança devem ser claramente definidas

5 Diretrizes

5.1 Esta POSIC define as Diretrizes para a SIC do Ministério do Esporte e descreve a conduta considerada adequada para o manuseio, controle e proteção das informações contra destruição, modificação, divulgação indevida e acessos não autorizados, sejam acidentais ou intencionais.

5.2 As diretrizes da POSIC constituem os principais pilares da Gestão de Segurança da Informação, norteando a elaboração das NORSIC:

5.2.1 Devem ser criados e mantidos Plano de Gerenciamento de Incidentes e Plano de Recuperação de Desastres formais e periodicamente testados, para garantir a continuidade das atividades críticas e o retorno à situação de normalidade.

5.2.2 Os sistemas, as informações e os serviços do Ministério do Esporte utilizados pelos usuários, no exercício de suas atividades, são de exclusiva propriedade do Ministério, não podendo ser interpretados como de uso pessoal e devem ser protegidos, segundo as diretrizes descritas nesta Política e demais regulamentações em vigor.

5.2.3 Todos os usuários do Ministério devem ter ciência de que o uso das informações e dos sistemas de informação pode ser monitorado, e que os registros assim obtidos poderão ser utilizados para detecção de violações da POSIC e demais regulamentações em vigor.

5.2.4 Os recursos de tecnologia da informação de propriedade do Ministério do Esporte são fornecidos para uso corporativo, para os fins a que se destinam e no interesse da administração. É considerada imprópria a utilização desses recursos para propósitos não profissionais ou não autorizados. Os usuários e visitantes que tomarem conhecimento dessa prática devem levá-la ao conhecimento do superior imediato para que sejam aplicadas as ações disciplinares cabíveis.

5.2.5>small 0