email_legalAutora: Ana Paula Lobo

O governo começa a definir regras mais claras para o uso da Internet pós-ação de espionagem dos Estados Unidos. Nessa ultima semana, foi instituída a política de segurança da informação e comunicações do Ministério da Justiça. A regulamentação estabelece, entre uma série de medidas, que “o conteúdo das comunicações, mensagens e arquivos, transitados ou produzidos por meio do correio eletrônico institucional, é considerado propriedade do órgão”.

A regulamentação vale para todos os órgãos e entidades da estrutura do Ministério e prevê entre suas diretrizes, “definir regras claras e precisas de uso do e-mail institucional, com o objetivo de evitar o uso pelos agentes públicos para fins particulares, com abuso de direito ou violação à imagem do Ministério; e controlar o acesso à Internet, com o objetivo de evitar que os recursos computacionais do Ministério sejam utilizados em desrespeito às leis, aos costumes e à dignidade da pessoa humana”.

Veja abaixo, a íntegra da Portaria 3540, assinada pelo ministro da Justiça, José Eduardo Cardoso.

PORTARIA No- 3.530, DE 3 DE DEZEMBRO DE 2013
Institui a Política de Segurança da Informação e Comunicações do Ministério da Justiça, e dá outras providências.

O MINISTRO DE ESTADO DA JUSTIÇA, no uso das atribuições que lhe conferem o art. 87, parágrafo único, inciso II, da Constituição, e o Decreto no 6.061, de 15 de março de 2007, e tendo em vista o disposto no Decreto no 3.505, de 13 de junho de 2000, e na Norma Complementar no 3, de 30 de junho de 2009, do Departamento de Segurança da Informação e Comunicações do Gabinete de Segurança Institucional da Presidência da República, resolve:

Art. 1o Fica aprovada a Política de Segurança da Informação e Comunicações do Ministério da Justiça – POSIC/MJ, na forma do Anexo a esta Portaria.

Art. 2o A POSIC/MJ aplica-se a todos os órgãos e entidades da estrutura organizacional do Ministério da Justiça.

Parágrafo único. Os órgãos e entidades de que trata o caput poderão elaborar políticas setoriais de segurança da informação e comunicações, desde que observados os princípios e as diretrizes gerais da POSIC/MJ.

Art. 3o Esta Portaria entra em vigor na data de sua publicação.

Art. 4o Fica revogada a Portaria no 3.251, de 19 de dezembro de 2012, do Ministério da Justiça.

JOSÉ EDUARDO CARDOZO

ANEXO

CAPÍTULO I
DISPOSIÇÕES GERAIS

Art. 1o A Política de Segurança da Informação e Comunicações do Ministério da Justiça – POSIC/MJ objetiva dotar os órgãos e entidades da estrutura organizacional do Ministério de princípios, diretrizes, critérios e instrumentos aptos a assegurar a disponibilidade, integridade, confidencialidade e autenticidade dos dados e informações, protegendo-as contra ameaças e vulnerabilidades.

Art. 2o Para efeitos da POSIC/MJ, considera-se:

I – agente público: aquele que exerce, ainda que transitoriamente ou sem remuneração, por eleição, nomeação, designação, contratação ou qualquer outra forma de investidura ou vínculo, mandato, cargo, emprego ou função no Ministério;
II – ameaça: conjunto de fatores externos ou causa potencial de um incidente indesejado que possa resultar em dano para um sistema, órgão ou entidade da estrutura organizacional do Ministério;
III – ativos de informação: meios de armazenamento, transmissão e processamento de informação, sistemas de informação, bem como os locais onde se encontram esses meios e as pessoas que a eles têm acesso;
IV – autenticidade: propriedade de que a informação foi produzida, expedida, modificada ou destruída por uma determinada pessoa física ou por um determinado sistema, órgão ou entidade;
V – confidencialidade: propriedade de que a informação não esteja disponível ou que não tenha sido revelada a pessoa física, sistema, órgão ou entidade não autorizados e não credenciados;
VI – continuidade de serviços: capacidade estratégica e tática de um órgão ou entidade da estrutura organizacional do Ministério de se planejar e responder a incidentes e interrupções de funcionamento, minimizando seus impactos e recuperando perdas de ativos da informação das atividades críticas, de forma a manter suas operações em um nível aceitável, previamente definido;
VII – disponibilidade: propriedade que assegura que a informação esteja acessível e utilizável sob demanda por uma pessoa física ou por determinado sistema, órgão ou entidade;
VIII – Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais – ETIR: grupo de pessoas com a responsabilidade de receber, analisar e responder a notificações e atividades relacionadas a incidentes de segurança em computadores e de implementar a segurança da informação e comunicações no Ministério;
IX – gestão de continuidade: processo abrangente de gestãoque identifica ameaças potenciais para um órgão ou entidade da estrutura organizacional do Ministério e os possíveis impactos no funcionamento de seus serviços e atividades, caso estas ameaças se concretizem;
X – gestão de risco: conjunto de processos que permite identificar e implementar as medidas de proteção necessárias para minimizar ou eliminar os riscos a que estão sujeitos os seus ativos de informação, permitindo equilibrá-los com os custos operacionais e financeiros envolvidos;
XI – incidente de segurança: qualquer evento adverso, confirmado ou suspeito, relacionado à segurança de sistemas de computação ou de redes de computadores;
XII – informação: dados, processados ou não, que podem ser utilizados para produção e transmissão de conhecimento, contidos em qualquer meio, suporte ou formato;
XIII – integridade: propriedade de que a informação não foi modificada ou destruída de maneira não autorizada ou acidental;
XIV – Segurança da Informação e Comunicações – SIC: ações que objetivam viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações;
XV – tratamento da informação: conjunto de ações referentes à produção, recepção, classificação, utilização, acesso, reprodução, transporte, transmissão, distribuição, arquivamento, armazenamento, eliminação, avaliação, destinação ou controle da informação; e
XVI – vulnerabilidade: conjunto de fatores internos ou causas potenciais de um incidente de segurança, que pode ser evitado por uma ação de SIC.

CAPÍTULO II
DO ESCOPO
Seção I
Dos Princípios

Art. 3o A POSIC/MJ é guiada pelos princípios da legalidade, segurança, publicidade, privacidade e ética.
Parágrafo único. Para efeitos da POSIC/MJ, entende-se por:

I – legalidade: observância dos parâmetros legais e regulamentares na implementação das ações de SIC;
II – segurança: proteção dos ativos de informação contra perda, corrupção, destruição, acesso, uso e alteração indevidos ou não autorizados;
III – publicidade: divulgação da POSIC/MJ e de todas as normas complementares aos agentes públicos em exercício no Ministério;
IV – privacidade: proteção do direito individual da pessoa à inviolabilidade de sua intimidade e vida privada e do sigilo de suas comunicações, observado o disposto no art. 31 da Lei no 12.527, de 18 de novembro de 2011, e nos arts. 55 a 62 do Decreto no 7.724, de 16 de maio de 2012; e
V – ética: observância do Código de Ética Profissional do Servidor Público Civil do Poder Executivo Federal, aprovado pelo Decreto no 1.171, de 22 de junho de 1994, e demais regras de conduta normativamente delimitadas para os agentes públicos.

Seção II
Das Diretrizes

Art. 4o São diretrizes gerais da POSIC/MJ:

I – estabelecer medidas e procedimentos de tratamento da informação, com o objetivo de viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações;
II – manter equipe de tratamento e resposta a incidentes em redes computacionais, com objetivo de registrar, analisar e tratar incidentes de SIC por meio da coleta de evidências, investigação de ataques, provimento de assistência local e remota e intermediação da comunicação entre as partes envolvidas;
III – elaborar e implementar plano de gestão de riscos, com o objetivo de reduzir as vulnerabilidades, evitar ameaças, minimizar a exposição aos riscos e atenuar os impactos associados aos ativos de informação do Ministério;
IV – elaborar e implementar plano de gestão de continuidade, com o objetivo de identificar ameaças e possíveis impactos na continuidade dos processos e serviços essenciais para o funcionamento do Ministério;
V – elaborar e implementar mecanismos de auditoria e conformidade, com o objetivo de garantir a exatidão dos registros de acesso aos ativos de informação e avaliar sua conformidade com as normas de SIC em vigor;
VI – implementar controle de acesso lógico aos sistemas de computação e redes de computadores e controle de acesso físico às instalações, com o objetivo de preservar os ativos de informação do Ministério;
VII – definir regras claras e precisas de uso do e-mail institucional, com o objetivo de evitar o uso pelos agentes públicos para fins particulares, com abuso de direito ou violação à imagem do Ministério; e
VIII – controlar o acesso à Internet, com o objetivo de evitar que os recursos computacionais do Ministério sejam utilizados em desrespeito às leis, aos costumes e à dignidade da pessoa humana.

CAPÍTULO III
DAS PENALIDADES

Art. 5o A desobediência às regras da POSIC/MJ e demais normas complementares implicará em sanções administrativas, sem prejuízo da apuração nas esferas cível e penal.

CAPÍTULO IV
DA GESTÃO DA SEGURANÇA DA INFORMAÇÃO E
COMUNICAÇÕES
Seção I

Do Gestor de Segurança da Informação e Comunicações

Art. 6o A implementação da POSIC/MJ ficará a cargo do Gestor de Segurança da Informação e Comunicações, servidor público efetivo designado pelo Secretário-Executivo, cabendo-lhe especialmente:

I – examinar, formular, promover e coordenar as ações de SIC no Ministério, em articulação com o Departamento de Segurança da Informação e Comunicações do Gabinete de Segurança Institucional da Presidência da República;
II – acompanhar investigações e avaliações de danos decorrentes de quebras de segurança;
III – propor às autoridades competentes os recursos necessários às ações de SIC no Ministério;
IV – coordenar o Comitê Gestor de Segurança da Informação e Comunicações e a Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais do Ministério;
V – divulgar e supervisionar o cumprimento da POSIC/MJ e suas normas complementares;
VI – propor normas e procedimentos relativos à SIC no âmbito do Ministério; e
VII – resolver os casos omissos e as dúvidas surgidas na aplicação da POSIC/MJ e suas normas complementares.

Seção II
Do Comitê Gestor de Segurança da Informação e Comunicações

Art. 7o Fica criado o Comitê Gestor de Segurança da Informação e Comunicações com a competência de:

I – assessorar na implementação das ações de SIC no Ministério;
II – constituir grupos de trabalho para tratar de temas e propor soluções específicas sobre SIC;
III – propor normas e procedimentos internos relativos à SIC, em conformidade com as legislações existentes sobre o tema;
IV – auxiliar na elaboração dos planos de gestão de riscos e de continuidade e na definição das diretrizes de auditoria e conformidade no âmbito do Ministério;
V – revisar a POSIC/MJ sempre que se fizer necessário;
VI – elaborar relatórios periódicos de suas atividades, encaminhando- os ao Secretário-Executivo; e
VII – indicar os integrantes da Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais.

Art. 8o O Comitê será composto por um representante, titular e suplente, de cada órgão e entidade a seguir indicados:

I – Gabinete do Ministro;
II – Comissão de Anistia;
III – Consultoria Jurídica;
IV – Secretaria Executiva;
V – Secretaria de Assuntos Legislativos;
VI – Secretaria Nacional de Justiça;
VII – Secretaria Nacional de Segurança Pública;
VIII – Secretaria de Reforma do Judiciário;
IX – Secretaria Nacional do Consumidor;
X – Secretaria Nacional de Políticas sobre Drogas;
XI – Secretaria Extraordinária de Segurança para Grandes Eventos;
XII – Departamento de Polícia Federal;
XIII – Departamento de Polícia Rodoviária Federal;
XIV – Departamento Penitenciário Nacional;
XV – Defensoria Pública da União;
XVI – Arquivo Nacional;
XVII – Conselho Administrativo de Defesa Econômica; e
XVIII – Fundação Nacional do Índio.

§ 1o Os representantes do Comitê e seus suplentes serão designados mediante ato do Secretário Executivo.
§ 2o A participação no Comitê será considerada serviço público relevante e não ensejará remuneração de qualquer espécie.
§ 3o O Comitê poderá convidar outros técnicos para colaborarem nos trabalhos a serem desenvolvidos, sem direito a voto.
§ 4o As deliberações do Comitê serão tomadas por maioria simples, presente a maioria absoluta de seus membros.
§ 5o O Comitê reunir-se-á a cada dois meses, podendo haver convocação extraordinária, a critério de seu coordenador.

Seção III
Da Equipe de Tratamento e Resposta a Incidentes em Redes
Computacionais

Art. 9o Fica criada a Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais – ETIR, com competência de:

I – registrar, analisar e tratar eventos e incidentes de SIC, por meio da coleta de evidências, investigação de ataques, provimento de assistência local e remota e intermediação da comunicação entre as partes envolvidas;
II – coordenar, analisar e sugerir ações apropriadas para remoção de qualquer arquivo, objeto ou vulnerabilidade que possa causar prejuízos aos sistemas e redes de computadores ou quebra de segurança;
III – disseminar alertas de vulnerabilidades e outras notificações relacionadas à SIC no âmbito do Ministério;
IV – assessorar tecnicamente os órgãos e unidades do Ministério;
V – avaliar o emprego de ferramentas de SIC;
VI – avaliar e analisar riscos atuais e iminentes, bem como propor ações para sua mitigação;
VII – realizar testes para homologação dos sistemas de SIC do Ministério; e
VIII – realizar outras atribuições que lhe forem cometidas pelo Gestor de Segurança da Informação e Comunicações.

Parágrafo único. Os membros da ETIR deverão ter perfil técnico adequado às funções de tratamento de incidentes em redes computacionais.

CAPÍTULO V
DISPOSIÇÕES FINAIS

Art. 10. O acesso à Internet realizado por meio de ativos de tecnologia de informação e comunicações do Ministério deve ser autorizado, identificado e registrado.
Art. 11. Os registros de acessos aos ativos de informação do Ministério devem ser preservados em conformidade à legislação em vigor.
Art. 12. O conteúdo das comunicações, mensagens e arquivos, transitados ou produzidos por meio do correio eletrônico institucional, é considerado propriedade do órgão, não sendo preservada a confidencialidade nos casos de violação da legislação em vigor.
Art. 13. As atribuições da Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais serão exercidas pelo Grupo de Atendimento e Tratamento de Incidentes de Segurança da Informação – GATI do Ministério da Justiça.
Art. 14. A POSIC/MJ e suas normas complementares deverão ser revisadas sempre que se fizer necessário, não excedendo o período máximo de dois anos.

Fonte: Convergência Digital com informações do Ministério da Justiça