Você está na página 1de 10

MINISTRIO DA INTEGRAO NACIONAL

POLTICA DE GESTO DE RISCOS DE SEGURANA DA


INFORMAO E DAS COMUNICAES
PRINCPIOS E DIRETRIZES

JUNHO, 2013.

Sumrio
1. POLTICA DE GESTO DE RISCOS DE SEGURANA DA INFORMAO E DAS
COMUNICAES DO MINISTRIO DA INTEGRAO NACIONAL ........................................... 3
1.1. ESCOPO....................................................................................................................................... 3
1.2. ABRANGNCIA ......................................................................................................................... 3
1.3. CONCEITOS E DEFINIES .................................................................................................... 4
1.4. REFERNCIAS LEGAIS E NORMATIVAS ............................................................................. 5
1.5. PRINCPIOS ................................................................................................................................ 6
1.6. DIRETRIZES GERAIS ................................................................................................................ 6
1.7. COMPETNCIAS E RESPONSABILIDADES ......................................................................... 8
1.8. SENSIBILIZAO, CONSCIENTIZAO E CAPACITAO ............................................. 9
1.9. PENALIDADES .......................................................................................................................... 9
1.10. ATUALIZAO ..................................................................................................................... 10
1.11. VIGNCIA ............................................................................................................................... 10
1.12. DIVULGAO ....................................................................................................................... 10
1.13. DISPOSIES FINAIS ........................................................................................................... 10

1. POLTICA DE GESTO DE RISCOS DE SEGURANA DA


INFORMAO E DAS COMUNICAES DO MINISTRIO DA
INTEGRAO NACIONAL
1.1. ESCOPO
A Poltica de Gesto de Riscos de Segurana da Informao e das Comunicaes (PGRSIC)
tem por finalidade apresentar e estabelecer princpios, diretrizes e responsabilidades
relacionados Gesto de Riscos de Segurana da Informao e das Comunicaes para o
Ministrio da Integrao Nacional (MI).
A Poltica de Gesto de Riscos de Segurana da Informao e das Comunicaes obedecer
aos princpios constitucionais, administrativos e ao arcabouo legislativo vigente que rege a
Administrao Pblica Federal.
O objetivo da PGRSIC orientar o planejamento, a implementao e a manuteno do
processo de Gesto de Riscos da Segurana da Informao e das Comunicaes segundo a
metodologia preconizada pela Norma ABNT NBR ISO/IEC 27005 Gesto de Riscos de
Segurana e Tecnologia da Informao, de 2011, e dispositivos da Norma Complementar
04/IN01/DSIC/GSI/PR, de 15 de fevereiro de 2013, associando, dessa forma, o processo de
Gesto de Riscos tomada de decises estratgicas da Organizao, em conformidade com as
boas prticas recomendadas pelos rgos de controle da Administrao Pblica Federal.

1.2. ABRANGNCIA
Esta Poltica aplica-se a todos os membros, servidores e estagirios do MI e demais agentes
pblicos ou particulares que, oficialmente, executem atividade vinculada atuao
institucional do Ministrio da Integrao Nacional.
Esta Poltica define responsabilidades para a Gesto de Riscos de Segurana da Informao e
das Comunicaes (GRSIC), bem como para a atualizao da documentao pertinente.
Esta Poltica fomenta, ao longo de toda a estrutura organizacional do MI, a obteno de
atitude favorvel no tocante GRSIC, bem como incrementar a conscientizao a respeito da
importncia do assunto.

1.3. CONCEITOS E DEFINIES


Para os fins desta Poltica, consideram-se os conceitos dos termos e expresses que constam
do glossrio de Segurana da Informao e das Comunicaes e GRSIC.
Ameaa conjunto de fatores externos ou causa potencial de um incidente indesejado, que
pode resultar em dano para um sistema ou organizao;
Anlise/avaliao de riscos processo completo de anlise e avaliao de riscos;
Ativo qualquer bem, tangvel ou intangvel, que tenha valor para a organizao;
Ativo da Informao os meios de armazenamento, transmisso e processamento, os sistemas
de informao, bem como os locais onde se encontram esses meios e as pessoas que a eles
tm acesso;
Ativo Sigiloso qualquer bem tangvel ou intangvel que possa conter informaes sigilosas
que, se acessadas por pessoas no autorizadas, podem causar danos significativos
organizao;
Contingncia descrio de medidas a serem tomadas por uma empresa, incluindo a ativao
de processos manuais, para fazer com que seus processos vitais voltem a funcionar
plenamente, ou num estado minimamente aceitvel, o mais rpido possvel, evitando assim
uma paralisao prolongada que possa gerar maiores prejuzos corporao;
DGE Departamento de Gesto Estratgica;
Gesto de Risco conjunto de processos que permite identificar e implementar as medidas de
proteo necessrias para minimizar ou eliminar os riscos a que esto sujeitos os seus ativos
de informao, e equilibr-los com os custos operacionais e financeiros envolvidos;
Gestor de Segurana da Informao e das Comunicaes responsvel pelas aes de
segurana da informao e comunicaes no mbito do rgo ou entidade da APF;
Plano de Contingncia Descrever as medidas a serem tomadas por uma organizao,
incluindo a ativao de processos manuais, para fazer com que seus processos crticos voltem
a funcionar plenamente, ou num estado minimamente aceitvel, o mais rpido possvel,
evitando assim uma paralisao prolongada;
Plano de Continuidade de Negcios Processo de gesto global que identifica as potenciais
ameaas para uma organizao e os impactos nas operaes da instituio que essas ameaas,
se concretizando, poderiam causar, e fornecendo e mantendo um nvel aceitvel de servio em
face das rupturas e desafios operao normal do dia-a-dia;

Poltica de Segurana da Informao e das Comunicaes (POSIC) documento aprovado


pela autoridade responsvel pelo rgo ou entidade da Administrao Pblica Federal, direta e
indireta, com o objetivo de fornecer diretrizes, critrios e suporte administrativo suficientes
implementao da segurana da informao e comunicaes;
Sistema de Segurana da Informao proteo de um conjunto de dados, no sentido de
preservar o valor que possuem para um indivduo ou uma organizao. So caractersticas
bsicas da segurana da informao os atributos de confidencialidade, integridade,
disponibilidade e autenticidade, no estando esta segurana restrita a sistemas
computacionais, informaes eletrnicas ou sistemas de armazenamento.

1.4. REFERNCIAS LEGAIS E NORMATIVAS


POSIC Poltica de Segurana da Informao e das Comunicaes do MI;
Decreto n 7.724 de 16/05/2012, que regulamenta a Lei 12.527, de 18/11/2011 Dispe sobre
o acesso a informaes;
Instruo Normativa GSI n 1, de 13 de junho de 2008, que disciplina a Gesto de Segurana
da Informao e Comunicaes na Administrao Pblica Federal;
Norma Complementar n 01/IN01/DSIC/GSIPR, Atividade de Normatizao;
Norma Complementar n 03/IN01/DSIC/GSIPR, de 30 de junho de 2009, Diretrizes para a
Elaborao de Poltica de Segurana da Informao e Comunicaes nos rgos e Entidades
da Administrao Pblica Federal;
Norma Complementar 04/IN01/DSIC/GSI/PR, de 15 de fevereiro de 2013, Gesto de Riscos
de Segurana da Informao e Comunicaes GRSIC;
Norma Complementar n 06/IN01/DSIC/GSIPR, Estabelece Diretrizes para Gesto de
Continuidade de Negcios, nos aspectos relacionados Segurana da Informao e
Comunicaes, nos rgos e entidades da Administrao Pblica Federal, direta e indireta
APF;
Norma Complementar n 10/IN01/DSIC/GSIPR, Estabelece diretrizes para o processo de
Inventrio e Mapeamento de Ativos de Informao, para apoiar a Segurana da Informao e
das Comunicaes (SIC), dos rgos e entidades da Administrao Pblica Federal, direta e
indireta APF;
ISO/IEC Guide 73:2002 Gesto de Riscos / Vocabulrio Recomendaes para uso em
normas;

NBR/ISO/IEC 27002/2005, que institui o cdigo de melhores prticas para gesto de


segurana da informao;
NBR/ISO/IEC 27001/2006, que estabelece os elementos de um Sistema de Gesto de
Segurana da Informao;
ABNT NBR ISO/IEC 27005 Gesto de Riscos de Segurana e Tecnologia da Informao, de
2011;
ABNT ISO/IEC GUIA 73: Gesto de Riscos Vocabulrio, de 2009.

1.5. PRINCPIOS
So princpios da PGRSIC:
1.5.1. Esta Poltica de Gesto de Riscos de Segurana da Informao e das Comunicaes
(PGRSIC) se aplica s atividades de todos os servidores, prestadores de servios e
fornecedores que venham a desempenhar atividades no mbito do MI.
1.5.2. Responsabilidade: os agentes pblicos devem conhecer e respeitar a PGRSIC do MI e
devem ser responsabilizados pelos atos que coloquem em risco a segurana da informao;
1.5.3. tica: os direitos dos agentes pblicos devem ser preservados, sem expor o MI a
ameaas de riscos de segurana da informao e das comunicaes;
1.5.4. Celeridade: as aes de tratamento de riscos de segurana da informao e das
comunicaes devem oferecer respostas rpidas a incidentes e falhas de segurana;
1.5.5. Economicidade da proteo dos ativos de informao;
1.5.6. Clareza: as regras de gesto de riscos de segurana da informao e das comunicaes
devem ser precisas, concisas e de fcil entendimento;
1.5.7. Pessoalidade e utilidade do acesso aos ativos de informao;
1.5.8. Publicidade: dar transparncia no trato da informao, observados os critrios legais;
1.5.9. Sero observados ainda, sem prejuzo dos demais, outros princpios constitucionais que
regem a Administrao Pblica Federal APF.

1.6. DIRETRIZES GERAIS


So diretrizes gerais da PGRSIC:

1.6.1. As diretrizes gerais do processo de GRSIC consideram, prioritariamente, os objetivos


estratgicos, os processos, os requisitos legais e a estrutura do MI, alm de estarem alinhadas
respectiva POSIC do MI;
1.6.2. As decises estratgicas de SIC do MI devem observar os nveis de exposio aos
riscos;
1.6.3. Deve ser adotada no MI a abordagem sistemtica do processo de GRSIC, conforme
preconizado na Norma Complementar 04/IN01/DSIC/GSI/PR e na Norma ABNT NBR
ISO/IEC 27005:2011, com o objetivo de manter os riscos em nveis aceitveis;
1.6.4. O processo de GRSIC do MI dever ser definido pelas atividades de:
1.6.4.1. anlise de contexto e identificao de requisitos de SIC;
1.6.4.2. anlise e avaliao dos riscos;
1.6.4.3. definio do plano de tratamento dos riscos;
1.6.4.4. definio da estratgia de aceitao dos riscos;
1.6.4.5. implementao do plano de tratamento dos riscos, monitorao e anlise crtica;
1.6.4.6. melhoria do processo de GRSIC;
1.6.5. O processo de GRSIC deve ser contnuo e deve estar alinhado ao modelo denominado
PDCA

(Plan-Do-Check-Act),

conforme

definido

na

Norma

Complementar

02/IN01/DSIC/GSIPR, de modo a fomentar a sua melhoria contnua;


1.6.6. O processo de GRSIC deve ser aplicado na implementao e operao da Gesto de
Segurana da Informao e Comunicaes do MI e dever produzir subsdios para suportar o
Sistema de SIC e a Gesto de Continuidade de Negcios do MI;
1.6.7. Todos os riscos de segurana da informao e das comunicaes devem ser
identificados e tratados;
1.6.8. Todos os usurios so responsveis pela identificao de riscos e devem prestar contas
por gerenciar os riscos de suas atividades;
1.6.9. O MI deve difundir um sistema de cultura de risco, no qual procedimentos e sistemas
de controle sejam disseminados em todas as reas administrativas e operacionais, com total
comprometimento da Alta Administrao do MI;
1.6.10. Um sistema amplo de divulgao deve permear todo o MI de forma clara e objetiva;

1.6.11. Uma anlise bem estruturada que avalie, identifique e reconhea o comprometimento
de todos os usurios com o gerenciamento de riscos de segurana da informao e das
comunicaes fundamental para o sucesso dessa iniciativa;
1.6.12. A adoo de uma linguagem padro de GRSIC essencial ao processo, possibilitando
melhor entendimento entre as partes e um processo livre de interferncias;

1.7. COMPETNCIAS E RESPONSABILIDADES


1.7.1. Compete ao DGE
1.7.1.1. Prover apoio aos setores do MI para o cumprimento da PGRSIC;
1.7.1.2. Auxiliar na aquisio de ferramentas de tecnologia de informao e demais recursos
que viabilizem a implementao de PGRSIC no MI;
1.7.2. Compete ao Gestor de SIC
1.7.2.1. Coordenar a GRSIC no MI;
1.7.2.2. De acordo com as necessidades de cada setor do MI, indicar responsveis pelo
gerenciamento de atividades relacionadas GRSIC, a quem sero conferidas, no mnimo, as
seguintes atribuies:
1.7.2.2.1. Analisar, avaliar e tratar riscos;
1.7.2.2.2. Produzir relatrios de sntese, onde constem a anlise dos resultados obtidos e a
proposio de ajustes e de medidas preventivas e proativas ao Comit de SIC.
1.7.3. Compete ao Comit de SIC do MI
1.7.3.1. Deliberar quanto a decises relacionadas GRSIC, incluindo sanes na ocorrncia
de violao desta Poltica;
1.7.3.2. Revisar, divulgar e fazer cumprir esta Poltica no mbito do MI;
1.7.3.3. Orientar e coordenar as atividades e projetos relativos GRSIC do MI, promovendo
programas educacionais e de conscientizao em GRSIC;
1.7.3.4. Estabelecer e manter atualizados os normativos relativos GRSIC no MI, em
conjunto com as partes interessadas;
1.7.3.5. Definir modelos de relatrios para reporte de eventos e incidentes que comprometam
a GRSIC no mbito do MI;
1.7.3.6. Realizar auditorias peridicas para avaliar os nveis de conformidade desta Poltica e
dos demais normativos de GRSIC no mbito do MI;

1.7.3.7. Aprovar as diretrizes gerais e o processo de GRSIC, observada, dentre outras


polticas, a POSIC vigente;
1.7.3.8. Implantar as diretrizes de GRSIC indicadas por esta Poltica.
1.7.4. Compete aos Chefes de Setores do MI
1.7.4.1. Garantir o cumprimento desta Poltica na esfera de responsabilidade do setor;
1.7.4.2. Detectar e encaminhar ao Comit de SIC os casos de quebra da segurana da
informao e das comunicaes ocasionadas por riscos no identificados ou riscos que no
foram tratados por usurios sob sua responsabilidade;
1.7.4.3. Realizar anlise, avaliao e tratamento de riscos dos ativos de informao sob sua
administrao;
1.7.4.4. Contribuir para o processo de melhoria contnua da GRSIC monitorando e realizando
anlises crticas dos ativos do setor;
1.7.4.5. Comunicar s partes interessadas os riscos dos ativos de informao sob a
administrao do setor;
1.7.4.6. Reportar ao Comit de SIC situaes que comprometam a GRSIC.
1.7.5. Compete aos Usurios da Informao
1.7.5.1. Cumprir a PGRSIC do MI;
1.7.5.2. Reportar ao chefe imediato situaes de riscos que comprometam a segurana das
informaes do MI.

1.8. SENSIBILIZAO, CONSCIENTIZAO E CAPACITAO


1.8.1. Todas as unidades do MI devero manter um processo permanente de divulgao de
suas normas e procedimentos para capacitar, conscientizar e sensibilizar seus usurios
correta conduta na utilizao dos ativos do MI.

1.9. PENALIDADES
1.9.1. O no cumprimento das determinaes da PGRSIC sujeita o infrator s penalidades
previstas na legislao e nos regulamentos internos do MI;
1.9.2. O descumprimento das disposies constantes nesta Poltica e nas Normas
Operacionais sobre Segurana da Informao e das Comunicaes caracteriza infrao

funcional, a ser apurada em processo administrativo disciplinar, sem prejuzo das


responsabilidades penal e civil;
1.9.3. O usurio que fizer uso de forma indevida ou no autorizada dos recursos de tecnologia
da informao, bem como agir em desacordo com os termos desta Poltica, fica sujeito
aplicao das penalidades previstas na Lei 8.112/90 e na legislao pertinente;
1.9.4. Os casos omissos e as dvidas surgidas na aplicao desta Poltica sero submetidos ao
Comit de SIC.

1.10. ATUALIZAO
1.10.1. Esta Poltica de GRSIC deve ser revisada e atualizada periodicamente no mximo a
cada 3 (trs) anos, sempre que forem observadas novas ameaas e vulnerabilidades, mudanas
organizacionais e necessidades de atendimento a requisitos legais e regulatrios.
1.10.2. Esta Poltica de GRSIC dever estar em conformidade com as Diretrizes do DGE, e
ser revisada e atualizada sempre que forem atualizadas ou aprovadas Normas relacionadas ao
assunto pelo Ministrio da Integrao Nacional.

1.11. VIGNCIA
1.11.1. Esse documento entra em vigor na data de sua publicao.

1.12. DIVULGAO
1.12.1. Aps a publicao desta Poltica de Gesto de Riscos de Segurana da Informao e
das Comunicaes, ela estar disponvel permanentemente nos canais de comunicao interno
e externo do MI e no D.O.U. a todos os usurios.

1.13. DISPOSIES FINAIS


1.13.1. Os casos omissos e as dvidas com relao a esta POSIC sero submetidos ao Comit
de SIC do MI.