Publicador de Conteúdos e Mídias

PORTARIA Nº 587, DE 10 DE MARÇO DE 2021

Brasão do Brasil

Diário Oficial da União

Publicado em: 12/03/2021 | Edição: 48 | Seção: 1 | Página: 172

Órgão: Controladoria-Geral da União/Secretaria Executiva

PORTARIA Nº 587, DE 10 DE MARÇO DE 2021

Institui a Política de Segurança da Informação da Controladoria-Geral da União.

O SECRETÁRIO-EXECUTIVO DA CONTROLADORIA-GERAL DA UNIÃO, no exercício das atribuições previstas no art. 28 do Anexo I do Decreto nº 9.681, de 3 de janeiro de 2019, e considerando o disposto na Portaria nº 1.324, de 5 de abril de 2019, resolve:

Art. 1º Esta Portaria institui a Política de Segurança da Informação - POSIN da Controladoria-Geral da União - CGU e estabelece os princípios a serem seguidos no que diz respeito à adoção de normas e procedimentos relacionados à segurança da informação, asseguradas a confidencialidade, integridade, autenticidade e disponibilidade dos dados e das informações.

CAPÍTULO I

DAS DISPOSIÇÕES GERAIS

Abrangência

Art. 2º A POSIN de que trata esta Portaria, seus princípios e a regulamentação dela decorrente devem ser observadas por todos os agentes públicos, colaboradores e visitantes que tenham acesso a instalações ou ambientes computacionais e a ativos de informação pertencentes ou sob custódia da CGU, bem como devem ser aplicadas a todos os sistemas de informação, processos corporativos e relacionamentos firmados entre a CGU e outros órgãos e entidades públicas ou privadas.

Princípios da POSIN

Art. 3º São princípios a serem observados na implementação da POSIN da CGU:

I - proteção da imagem da CGU;

II - garantia da:

a) disponibilidade, integridade, confidencialidade e autenticidade das informações;

b) transparência das informações de acesso irrestrito; e

c) proteção das informações com restrição de acesso e dos dados pessoais, observadas as normas em vigor sobre a matéria;

III - capacidade de reação a mudanças e de integração a oportunidades e inovação;

IV - adaptabilidade à realidade orçamentária em vigor;

V - integração com o ciclo de vida dos dados e dos processos organizacionais, bem como com a gestão e a cultura organizacional da CGU;

VI - manutenção das conformidades legal e normativa dos procedimentos relacionados à segurança da informação; e

VII - orientação à tomada de decisões institucionais que visem à efetividade das ações de segurança da informação.

CAPÍTULO II

DO MONITORAMENTO E CONTROLE DE ACESSO

Auditoria e conformidade

Art. 4º O uso dos ativos de informação da CGU deve ser passível de monitoramento e auditoria, devendo ser implementados e mantidos mecanismos que permitam sua rastreabilidade, acompanhamento, controle e verificação de acessos aos sistemas corporativos e rede interna da CGU.

Art. 5º Caso sejam identificadas mudanças ou fragilidades quanto ao uso de ativos de informação durante o monitoramento ou auditoria, elas deverão ser reportadas imediatamente ao Comitê Gerencial de Segurança Corporativa - CGSC.

Controle de acesso

Art. 6º A sistematização do controle de acesso tem por objetivo garantir que o acesso à informação e aos ativos que a armazenam seja franqueado exclusivamente a pessoas autorizadas, com base nos requisitos de negócio e de segurança da informação, sendo passível de monitoramento com vistas a garantir a rastreabilidade e a auditoria das ações realizadas.

Art. 7º Os sistemas que tratam informações restritas deverão ter, sempre que possível, mais de um fator de autenticação.

Art. 8º O processo de credenciamento dos usuários para acesso de documentos classificados será tratado em ato normativo específico.

CAPÍTULO III

DA GESTÃO E DA SEGURANÇA DA INFORMAÇÃO

Gestão do uso dos recursos computacionais

Art. 9º É vedado aos servidores e colaboradores a instalação de softwares ou sistemas não homologados pela Diretoria de Tecnologia da Informação - DTI.

Parágrafo único. Excepcionalmente, mediante justificativa da necessidade, poderá ser autorizada pela DTI a instalação de softwares ou sistemas não constantes na lista de homologados.

Art. 10. O acesso remoto aos recursos computacionais deve ser realizado mediante adoção dos mecanismos de segurança definidos pela DTI para evitar ameaças à integridade e ao sigilo do serviço.

§ 1º O acesso remoto a que se refere o caput só poderá ocorrer com a autorização da DTI, por meio de solicitação formal.

§ 2º O suporte técnico poderá acessar de forma remota as estações de trabalho dos usuários da CGU, mediante permissão destes ou em razão de demanda da própria DTI, exclusivamente para fins de execução de serviços relacionados a recursos computacionais autorizados ou homologados por tal Diretoria.

Art. 11. A utilização e guarda das senhas de acesso à rede e aos sistemas são de responsabilidade de cada usuário.

Gestão de ativos de tecnologia da informação

Art. 12. A gestão dos ativos de tecnologia da informação nos ambientes computacionais da CGU deve assegurar que tais ativos:

I - sejam inventariados e protegidos;

II - tenham entrada e saída nas dependências da CGU autorizadas e registradas por autoridade competente;

III - sejam passíveis de monitoramento, garantindo a rastreabilidade do seu uso;

IV - tenham identificados os seus custodiantes responsáveis;

V - não sejam utilizados para fins particulares ou de terceiros, entretenimento, veiculação de opiniões político-partidárias, religiosas, discriminatórias e afins, observando a legislação em vigor; e

VI - tenham registrada sua cessão quando se tratar de dispositivos móveis.

Gestão de continuidade de negócios

Art. 13. A segurança da informação deve auxiliar a manutenção dos processos de Gestão de Continuidade de Negócios da CGU, sobretudo por meio da:

I - redução da probabilidade de eventos negativos; e

II - definição de medidas de controle e de recuperação dos seus ativos de informação, bem como de processos críticos em situações de incidentes de interrupção.

Gestão de riscos

Art. 14. A gestão de riscos de segurança da informação deve ser realizada de forma sistemática e contínua e englobar todos os ativos de informação da CGU, visando a tratar riscos relacionados à disponibilidade, integridade, confidencialidade e autenticidade.

Art. 15. Aplicam-se à POSIN os princípios e diretrizes de gestão de riscos definidos pela Portaria nº 915, de 12 de abril de 2017, que institui a Política de Gestão de Riscos da CGU, no que couber.

Controle de acesso, credenciais e perfis dos usuários

Art. 16. O controle de acesso, credenciais e perfis dos usuários deverá observar as seguintes operações, dentre outras que se façam necessárias:

I - por ocasião do ingresso dos usuários, mediante:

a) criação de perfis de usuários com nível de autorização adequados às atividades empenhadas;

b) concessão de credenciais de acesso;

c) acesso aos ativos e sistemas necessários à execução de suas atividades, proporcionando a rastreabilidade das ações realizadas; e

d) entrega de compromisso assinado de não divulgação de informações classificadas ou restritas a que venha a ter acesso, ainda que após o seu desligamento ou movimentação;

II - por ocasião do desligamento ou movimentação dos usuários, mediante:

a) exclusão dos respectivos perfis de usuários;

b) revogação das credenciais de acesso; e

c) devolução de todos os ativos de informação da CGU que estejam em sua posse.

Parágrafo único. Será considerado o princípio do menor privilégio na configuração das credenciais ou concessão de acesso aos ativos de informação.

Art. 17. A proposição de ações de divulgação e conscientização da segurança da informação poderá ser realizada por qualquer agente público da CGU e será submetida à apreciação do CGSC.

Segurança física

Art. 18. A segurança física e patrimonial em relação à segurança da informação tem por objetivo prevenir danos e interferências nas instalações da CGU que possam causar perda, roubo ou comprometimento das informações.

Art. 19. Será assegurado o controle de acesso e a salvaguarda das instalações e dos ativos de informação em que são elaborados, tratados, custodiados, manuseados ou guardados dados e informações críticas ou sensíveis, independentemente do meio em que estão armazenados.

CAPÍTULO IV

DO TRATAMENTO E DA CLASSIFICAÇÃO DA INFORMAÇÃO

Tratamento e classificação da informação

Art. 20. Toda informação institucional no âmbito da CGU deve ser gerida adequadamente com o objetivo de garantir a sua disponibilidade, integridade, autenticidade e, quando aplicável, confidencialidade, independente do meio de armazenamento, processamento ou transmissão utilizado.

Art. 21. A segurança da informação deve ser prevista e realizada em todo o ciclo de vida dos dados, sendo apoiada pelo desenvolvimento de software seguro e sob governança efetiva dos dados.

Parágrafo único. As informações sem restrição de acesso podem ser tratadas no ambiente de nuvem, incluindo o Escritório Digital da CGU.

Art. 22. Todos que tiverem acesso aos ativos de informação da CGU devem utilizar preferencialmente as ferramentas de trabalho homologadas pela DTI, ainda que fora das dependências da CGU.

Art. 23. O tratamento das informações pessoais deve considerar o respeito a intimidade, vida privada, honra e imagem das pessoas, bem como às liberdades e garantias individuais, conforme o disposto na Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados - LGPD), e na Lei nº 12.527, de 18 de novembro de 2011.

Art. 24. O compartilhamento de dados com outros órgãos ou entidades da Administração Pública deve ser pautado na legislação vigente, considerando as restrições de acesso e sigilo, cabendo à CGU definir os níveis adequados de segurança.

CAPÍTULO V

DAS COMISSÕES PERMANENTES DE AVALIAÇÃO DE DOCUMENTOS

Art. 25. A eliminação de documentos produzidos e acumulados pela CGU será realizada mediante autorização do Ministro, observado o estabelecido no art. 9º e 10 do Decreto nº 10.148, de 2 de dezembro de 2019.

Art. 26. O acesso, a divulgação e o tratamento de informação classificada ficarão restritos a pessoas com necessidade de conhecê-la e que sejam credenciadas na forma estabelecida no Decreto nº 7.845, de 14 de novembro de 2012, e nas normas complementares do Gabinete de Segurança Institucional da Presidência da República, sem prejuízo das atribuições dos agentes públicos autorizados na legislação.

CAPÍTULO VI

DAS COMPETÊNCIAS E RESPONSABILIDADES

Competências e responsabilidades

Art. 27. Compete complementarmente ao CGSC, instituído pela Portaria CGU nº 1.324, de 5 de abril de 2019:

I - formular e adequar as normas atinentes à Segurança Corporativa, propor medidas de acompanhamento, avaliação, conscientização e capacitação de pessoal relativas às ações de segurança corporativa;

II - promover, periodicamente, avaliação de conformidade a esta Portaria e a suas normas e procedimentos complementares, bem como às regulamentações e legislações em vigor relativas à Segurança da Informação, considerando os requisitos mínimos que assegurem a disponibilidade, integridade, confidencialidade e autenticidade das informações;

III - definir a periodicidade máxima para a execução dos processos de Gestão de Riscos de Segurança da Informação;

IV - propor diretrizes de Segurança da Informação para a instituição do processo de tratamento da informação em todo o seu ciclo de vida, conforme inciso V do art. 4º da Lei 12.527, de 2011;

V - fomentar boas práticas de transparency by design, privacy by design, security by design e quaisquer outras referentes à Lei nº 12.527, de 2011, e à Lei nº 13.709, de 2018;

VI - receber notificações relacionadas aos incidentes ou ameaças à Segurança da Informação; e

VII - divulgar a POSIN de forma ampla a todos os servidores e colaboradores da CGU.

Art. 28. Compete às unidades organizacionais da CGU zelar pela estrita observância das ações de segurança corporativa, bem como comunicar formalmente ao CGSC qualquer incidente ou ameaça à segurança corporativa de que tiverem ciência, além de propor melhorias à POSIN sempre que identificada a necessidade.

Art. 29. Os usuários com acesso aos ativos de informação da CGU devem:

I - zelar pela observância e cumprimento da POSIN e dos atos e ações decorrentes da sua implementação;

II - comunicar formalmente ao CGSC qualquer incidente ou ameaça à Segurança da Informação de que tiver ciência; e

III - participar de ações de capacitação e iniciativas relacionadas à segurança de informação promovidas ou divulgadas pela CGU.

CAPÍTULO VII

DISPOSIÇÕES FINAIS

Art. 30. A POSIN, quando necessário, deve ser complementada por normas, metodologias e procedimentos e deverá ser revisada em um período não superior a quatro anos.

Parágrafo único. A POSIN observará, no que couber, os conceitos constantes do Glossário de Segurança da Informação aprovado pela Portaria GSI/PR nº 93, de 26 de setembro de 2019.

Art. 31. Os contratos, convênios, acordos de cooperação e outros instrumentos congêneres celebrados pela CGU devem observar o contido na POSIN e nos atos decorrentes da sua implementação.

Art. 32. As omissões e as dúvidas decorrentes da aplicação da POSIN serão dirimidas pelo CGSC.

Art. 33. Atos a serem editados pelo Secretário-Executivo disporão sobre:

I - a designação do gestor da segurança da informação no âmbito da CGU, conforme o disposto no art. 18 da Instrução Normativa GSI/PR nº 1, de 2020;

II - a designação do Gestor de Segurança e Credenciamento no âmbito da CGU, em atendimento ao disposto no inciso II do art. 10 do Decreto nº 7.845, de 2012;

III - a constituição, a composição, as atribuições e o escopo de atuação da Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos - ETIR, conforme o disposto no art. 22 da Instrução Normativa GSI/PR nº 1, de 2020; e

IV - tratamento de informações restritas ou classificadas em ambiente computacional de nuvem.

Art. 34. Fica revogada a Portaria nº 2.042, de 22 de setembro de 2017.

Art. 35. Esta Portaria entra em vigor no dia 1º de abril de 2021.

JOSE MARCELO CASTRO DE CARVALHO

Este conteúdo não substitui o publicado na versão certificada.

Borda do rodapé
Logo da Imprensa