Institui a Política de Segurança da Informação do Ministério da Previdência Social (PSI/MPS).
O MINISTRO DE ESTADO DA PREVIDÊNCIA SOCIAL, no uso das atribuições que lhe conferem os incisos I e II do art. 87 da Constituição Federal, e no art. 15 do Decreto nº 9.637, de 26 de dezembro de 2018, resolve:
DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
Art. 1º Fica instituída a Política de Segurança da Informação do Ministério da Previdência Social, que tem a finalidade de estabelecer princípios, diretrizes, responsabilidades e competências para a gestão da segurança da informação.
CAPÍTULO I
DO ESCOPO
Art. 2º A Política de Segurança da Informação aplica-se a todos os órgãos de assistência direta e imediata ao Ministro de Estado, aos órgãos específicos singulares e às unidades descentralizadas, e deverá ser observada por todos os usuários de informação, seja servidor ou equiparado, empregado, prestador de serviços ou pessoa habilitada pela administração, por meio da assinatura de Termo de Responsabilidade, para acessar os ativos de informação sob responsabilidade deste Ministério.
Art. 3º São objetivos da Política de Segurança da Informação:
I – estabelecer princípios e diretrizes a fim de proteger ativos de informação e conhecimentos gerados ou recebidos;
II – estabelecer orientações gerais de segurança da informação e, desta forma, contribuir para a gestão eficiente dos riscos cibernéticos e operacionais, limitando-os a níveis aceitáveis, bem como garantir a proteção da informação baseada nos princípios de disponibilidade, integridade, confidencialidade, autenticidade e rastreabilidade;
III – estabelecer competências e responsabilidades quanto à segurança da informação; e
IV – nortear a elaboração das normas necessárias à efetiva implementação da segurança da informação.
Art. 4º Para os efeitos desta Portaria e de suas regulamentações, aplicamse os termos do Glossário de Segurança da Informação aprovado pela Portaria GSI/PR nº 93, de 18 de outubro de 2021.
CAPÍTULO II
DA ESTRUTURA DA GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Art. 5º A estrutura da Gestão de Segurança da Informação é composta por:
I – Alta administração;
II – Comitê de Governança Digital e Segurança da Informação;
III – Gestor de Segurança da Informação;
IV – Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos; e
V – Usuários de informação.
§ 1º A alta administração deve se comprometer com o desenvolvimento e com a implementação da Política de Segurança da Informação do Ministério da Previdência Social, bem como com o tratamento das ações e decisões de segurança da informação em um nível de relevância e prioridade adequados.
§ 2º É responsabilidade de todos os usuários de informação do Ministério o conhecimento e a aderência a esta Política e às demais normas específicas de segurança da informação da Pasta.
§ 3º Todos os usuários de informação são responsáveis pela segurança dos ativos de informação que estejam sob a sua responsabilidade.
Art. 6º A Política de Segurança da Informação e demais normativos decorrentes da Política integram o arcabouço normativo do Sistema de Gestão de Segurança da Informação.
Art. 7º O Sistema de Gestão de Segurança da Informação é composto, no mínimo, pelos seguintes processos:
I – tratamento da informação;
II – segurança física e do ambiente;
III – gestão de incidentes em segurança da informação;
IV – gestão de ativos;
V – gestão do uso dos recursos operacionais e de comunicações, tais como e-mail, acesso à internet, mídias sociais e computação em nuvem;
VI – controles de acesso;
VII – gestão de riscos;
VIII – gestão de continuidade; e
IX – auditoria e conformidade.
§ 1º O Comitê de Governança Digital e Segurança da Informação poderá definir outros processos para composição do Sistema de Gestão de Segurança da Informação, desde que alinhados aos princípios e às diretrizes desta Política e destinados à implementação de ações de segurança da informação.
§ 2º Para cada um dos processos que compõem o Sistema de Gestão de Segurança da Informação, deve ser observada a pertinência de elaboração de normas, procedimentos, orientações ou manuais que disciplinem ou facilitem o seu entendimento.
CAPÍTULO III
DOS PRINCÍPIOS
Art. 8º As ações de segurança da informação do Ministério da Previdência Social são norteadas pelos princípios constitucionais e administrativos que norteiam a Administração Pública Federal, bem como pelos seguintes princípios:
I – disponibilidade, integridade, confidencialidade e autenticidade das informações;
II – continuidade dos processos e serviços essenciais para o funcionamento do Ministério da Previdência Social;
III – economicidade da proteção dos ativos de informação;
IV – respeito ao acesso à informação, à proteção de dados pessoais e à proteção da privacidade;
V – observância da publicidade como preceito geral e do sigilo como exceção;
VI – responsabilidade do usuário de informação pelos atos que comprometam a segurança dos ativos de informação;
VII – alinhamento estratégico da Política de Segurança da Informação com o planejamento estratégico do Ministério da Previdência Social, assim como demais normas específicas de segurança da informação da Administração Pública Federal;
VIII – conformidade das normas e das ações de segurança da informação com a legislação e regulamentos aplicáveis; e
IX – educação e comunicação como alicerces fundamentais para o fomento da cultura em segurança da informação.
CAPÍTULO IV
DAS DIRETRIZES GERAIS
Art. 9º Estas diretrizes constituem os principais pilares da gestão de segurança da informação, norteando a elaboração de políticas, planos e normas complementares no âmbito deste Ministério e objetivam a garantia dos princípios básicos de segurança da informação estabelecidos nesta Política.
Art. 10. As normas, procedimentos, manuais e metodologias de segurança da informação do Ministério devem considerar, como referência, além dos normativos vigentes, as melhores práticas de segurança da informação.
Art. 11. As ações de segurança da informação devem:
I – considerar, prioritariamente, os objetivos estratégicos, os planos institucionais, a estrutura e a finalidade do Ministério da Previdência Social;
II – ser tratadas de forma integrada, respeitando as especificidades e a autonomia das unidades do Ministério;
III – ser adotadas proporcionalmente aos riscos existentes e à magnitude dos danos potenciais, considerados o ambiente, o valor e a criticidade da informação;
IV – visar à prevenção da ocorrência de incidentes;
V – assegurar a conformidade com as legislações e regulamentações vigentes, incluindo a Lei Geral de Proteção de Dados Pessoais (LGPD); e
VI – promover a conscientização e capacitação contínua dos usuários em temas de segurança da informação.
Art. 12. O investimento necessário em medidas de segurança da informação deve ser dimensionado segundo o valor do ativo a ser protegido e de acordo com o risco de potenciais prejuízos ao Ministério.
Art. 13. Toda e qualquer informação gerada, custodiada, manipulada, utilizada ou armazenada no Ministério da Previdência Social compõe o seu rol de ativos de informação e deve ser protegida conforme normas em vigor.
Parágrafo único. As informações citadas no caput, que tramitem pelo ambiente computacional do Ministério da Previdência Social, são passíveis de monitoramento e auditoria por este Ministério, respeitados os limites legais.
Art. 14. O controle de acesso aos ativos de informação deve observar os princípios de:
I – privilégio mínimo: garantir que usuários, sistemas e dispositivos automatizados possuam apenas as permissões necessárias para o desempenho de suas funções;
II – necessidade de saber: acesso às informações restrito apenas àqueles cuja função exige o conhecimento específico;
III – autenticação multifator: utilização de múltiplos métodos de verificação para acesso ao ambiente tecnológico e sistemas críticos;
IV – revisão periódica dos acessos: auditoria regular das permissões concedidas para assegurar sua adequação; e
V – revogação imediata de acessos: remoção de permissões de usuários que não mais necessitam delas, como em casos de desligamento ou mudança de função.
§ 1º É condição para acesso aos recursos de tecnologia da informação do Ministério a assinatura, preferencialmente eletrônica, de Termo de Responsabilidade indicando a ciência aos termos desta Política, as responsabilidades e os compromissos em decorrência deste acesso, bem como as penalidades cabíveis pela inobservância das regras previstas nas normas de segurança da informação do Ministério.
§ 2º O perfil de “administrador local” da estação de trabalho é exclusivo da equipe técnica da unidade de tecnologia da informação do Ministério, restando ao usuário que utilizará o equipamento o perfil de “usuário comum”.
§ 3º Quando necessário ao usuário, para desempenho da função, o perfil de “administrador local” poderá ser autorizado pela unidade de tecnologia da informação do Ministério, mediante assinatura de Termo de Responsabilidade específico, com a autorização da chefia imediata, e parecer técnico ou documentação do sistema evidenciando a necessidade de tal permissão.
Art. 15. A Política de Segurança da Informação e suas atualizações, bem como normas específicas de segurança da informação do Ministério da Previdência Social, deverão ser divulgadas amplamente a todos os usuários de informação, ainda que a atuação na Pasta seja temporária, a fim de promover sua observância, seu conhecimento, bem como a formação da cultura de segurança da informação.
§ 1º Os usuários de informação devem ser continuamente capacitados nos procedimentos de segurança e no uso correto dos ativos de informação quando da realização de suas atribuições, de modo a minimizar possíveis riscos à segurança da informação.
§ 2º As ações de capacitação previstas no § 1º deverão ser conduzidas de modo a possibilitar o compartilhamento de materiais educacionais sobre segurança da informação.
Art. 16. Todos os contratos de prestação de serviços firmados pelo Ministério conterão cláusula específica sobre a obrigatoriedade de atendimento às diretrizes desta Política de Segurança da Informação, bem como das normas decorrentes da Política.
CAPÍTULO V
DA PROTEÇÃO DE DADOS PESSOAIS
Art. 17. O Ministério compromete-se a proteger os dados pessoais sob sua custódia, em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD).
Art. 18. São diretrizes para a proteção de dados pessoais:
I – coletar apenas os dados pessoais necessários para o desempenho das atividades que competem ao Ministério;
II – obter consentimento dos titulares dos dados, quando aplicável;
III – assegurar que os dados pessoais sejam utilizados exclusivamente para os fins para os quais foram coletados;
IV – implementar medidas técnicas e administrativas para proteger os dados pessoais contra acessos não autorizados e incidentes; e
V – garantir que os titulares dos dados possam exercer seus direitos, conforme previsto na LGPD.
CAPÍTULO VI
DAS VEDAÇÕES
Art. 19. É proibida a utilização dos recursos de tecnologia da informação disponibilizados pelo Ministério da Previdência Social para acesso, guarda e divulgação de material incompatível com ambiente do serviço, que viole direitos autorais ou que infrinja a legislação vigente.
Art. 20. São vedados o uso e a instalação de recursos de tecnologia da informação que não tenham sido homologados ou adquiridos pelo Ministério da Previdência Social.
Art. 21. É vedada a divulgação a terceiros de mecanismos de identificação, autenticação e autorização baseados em conta e senha ou certificação digital, de uso pessoal e intransferível, que são fornecidos aos usuários.
Art. 22. É vedada a exploração de eventuais vulnerabilidades, as quais devem ser comunicadas às instâncias superiores assim que identificadas.
Art. 23. É vedado o uso de ferramentas de Inteligência Artificial (IA) não autorizadas, a fim de mitigar riscos de vazamento de dados pessoais ou restritos.
CAPÍTULO VII
DAS PENALIDADES
Art. 24. A não observância do disposto nesta Política, bem como em seus instrumentos normativos correlatos, sujeita o infrator à aplicação de sanções administrativas conforme a legislação vigente, incluindo a Lei Geral de Proteção de Dados Pessoais (LGPD), sem prejuízo das responsabilidades penal e civil, assegurados sempre aos envolvidos o contraditório e a ampla defesa.
CAPÍTULO VIII
DA VIGÊNCIA E REVISÃO
Art. 25. A periodicidade da revisão da Política de Segurança da Informação não deve exceder três anos, podendo ser revisada a qualquer momento a critério do Comitê de Governança Digital e Segurança da Informação, considerando mudanças tecnológicas, novas ameaças cibernéticas e atualizações regulatórias.
CAPÍTULO IX
DAS DISPOSIÇÕES FINAIS
Art. 26. As dúvidas sobre a Política de Segurança da Informação e seus documentos devem ser submetidas ao Comitê de Governança Digital e Segurança da Informação.
WOLNEY QUEIROZ MACIEL
Carrinho de compras