Programa de Privacidade e

Segurança da Informação
Secretaria de Governo Digital / MGI

abril de 2023
Framework de Privacidade e Segurança da
Informação - Agenda

1
3ª Linha
O PPSI e a Motivação do Framework
1
de Defesa

2 Estruturação do Guia do Framework

33 Ferramenta de Automação do Framework

2
 Framework de Privacidade e Segurança da
Informação

3ª Linha
de Defesa

O PPSI e
1 Motivação do
Framework
3
 Framework de Privacidade e Segurança da
Informação
Principais iniciativas de apoio
3ª Linha
de Defesa OBJETIVO Centro Integrado de Segurança Cibernética do
Governo Digital – CISC GOV.BR
Elevar a maturidade e resiliência em

PESSOAS
privacidade e segurança da informação dos
órgãos do SISP
Pentest e Simulação de Phishing

RESULTADO-CHAVE 1
Centro de Excelência em Privacidade e
Implementação de controles de privacidade
Cibersegurança (PCCoE)

Framework de Privacidade e Segurança da

RESULTADO-CHAVE 2 Informação (LGPD, PNSI)

Implementação de controles de segurança da

informação Control Self Assessment (CSA), Análise de GAPs,
Plano Trabalho e Monitoramento

4
 Framework de Privacidade e Segurança da
Informação - Motivação

3ª Linha
Decreto 10.332/2020 Acórdãos TCU
de Defesa
EGD 2020-2022/3 Acórdão 1889/2020
Sistemas Informacionais Críticos
Objetivo 10 - Implementação da LGPD
no âmbito do Governo federal Acórdão 1384/2022*
Diagnóstico do Grau de
Implementação da LGPD na APF
Objetivo 11 - Garantia da segurança Acórdão 1768/2022
das plataformas de governo digital e de Mapeamento Maturidade APF
missão crítica quanto à Implementação de
Controles Críticos de SEGCIBER

* 9.1. recomendar à SGD/ME (...) que considerando o controle sob jurisdição, edite normativos e
guias, consultando ANPD e GSI/PR, para auxiliar a adequação das organizações à LGPD. 5
 Framework de Privacidade e Segurança da
Informação
3ª Linha
de Defesa

Estruturação
2 do Guia do
Framework
6
 Framework de Privacidade e Segurança da
Informação - Estruturação do Guia - Capítulos
O Guia do Framework foi estruturado em 8 capítulos:
3ª Linha

2
CONTROLE DE ESTRUTURAÇÃO
1
de DefesaFUNDAMENTAÇÃO
1-Orientações BÁSICA EM SEGURANÇA DA
INFORMAÇÃO E PRIVACIDADE

3
2-ListaCONTROLES
InventárioDE CIBERSEGURANÇA 4 CONTROLES DE PRIVACIDADE

5 IMPLEMENTAÇÃO
3-Template 6 MATURIDADE

7
FERRAMENTA DE ACOMPANHAMENTO
4-Listas
DA IMPLEMENTAÇÃO DO FRAMEWORK 8 CONSIDERAÇÕES FINAIS

7
 Capítulo 1 - Fundamentação
“Não há privacidade sem segurança”
1. Normas legais de conformidade 3. Abordagem de controles e
• LGPD implementação de cibersegurança
• Normativos GSI
• CIS Controls – Cibersegurança
• PNSI – Política Nacional de Segurança da Informação
• CIS Guia Complementar de Privacidade
• Grupos de Implementação do CIS
• NIST Cybersecurity Framework (Identificar-Proteger-Detectar-Responder-
Recuperar)

2. Estruturação básica de gestão 4. Abordagem de controles e

em privacidade e segurança implementação de privacidade
• Gestor de TIC • ISO/IEC 29100:2011
• Gestor de Segurança da Informação • ISO/IEC 29151:2017
• Responsável pela Unidade de Controle Interno • ABNT NBR ISO/IEC 27701:2019
• Comitê de Segurança da Informação ou equivalente • ISO/IEC 27018:2014
• Equipe de Tratamento e Resposta a Incidentes Cibernéticos – ETIR • ISO/IEC 29134:2017
• Encarregado pela Proteção de Dados Pessoais • ABNT NBR ISO/IEC 29184:2021
• Política de Segurança da Informação • NIST Privacy Framework (Identificar, Governar, Controlar, Comunicar,
Proteger)
• Guias Orientativos da ANPD 8
Capítulo 2 – Estruturação básica em privacidade e
segurança da informação

Capítulo 2 Capítulo 2 Anexo III

Referências Normativas
IN SGD/ME nº 94/2022 Conformidade Controle 0
IN CGU nº 3/2017 básica relativa • Gestor de TIC
• Gestor de Segurança da
IN GSI/PR nº 1/2020 aos atores Informação
Lei nº 13.709/2018 (LGPD) essenciais para • Responsável pela
condução do Unidade de Controle
Interno
Responsabilidade Framework • Comitê de Segurança da
da Alta Administração Informação ou equivalente
Garantir que estruturação básica em • ETIR
segurança da informação e privacidade • Encarregado
• POSIN
seja estabelecida no órgão ou entidade.

9
 Capítulo 3 - Controles de Cibersegurança
(CIS 8)

Controles CIS 8
• 01: INVENTÁRIO E CONTROLE DE ATIVOS INSTITUCIONAIS Capítulo 3 Anexo IV
• 02: INVENTÁRIO E CONTROLE DE ATIVOS DE SOFTWARE
• 03: PROTEÇÃO DE DADOS Controles 1 a 18
• 04: CONFIGURAÇÃO SEGURA DE ATIVOS INSTITUCIONAIS E
• Contextualização
SOFTWARE do objetivo do
• 05: GESTÃO DE CONTAS controle
• 06: GESTÃO DO CONTROLE DE ACESSO • Medidas de
• 07: GESTÃO CONTÍNUA DE VULNERABILIDADES • Por que Cibersegurnaça a
• 08: GESTÃO DE REGISTROS DE AUDITORIA
• 09: PROTEÇÕES DE E-MAIL E NAVEGADOR WEB implementar? serem
• 10: DEFESAS CONTRA MALWARE
• Aplicabilidade e implementadas
• 11: RECUPERAÇÃO DE DADOS para os controles.
• 12: GESTÃO DA INFRAESTRUTURA DE REDE Implicações de
• 13: MONITORAMENTO E DEFESA DA REDE Privacidade
• 14: CONSCIENTIZAÇÃO E TREINAMENTO DE COMPETÊNCIAS
SOBRE SEGURANÇA • Fique Atento!
• 15: GESTÃO DE PROVEDOR DE SERVIÇOS
• 16: SEGURANÇA DE APLICAÇÕES
• 17: GESTÃO DE RESPOSTA A INCIDENTES
• 18: TESTES DE INVASÃO

10
 Capítulo 4 - Controles de Privacidade

Controles de Privacidade Capítulo 4 Anexo V

• 19: INVENTÁRIO E MAPEAMENTO
• 20: FINALIDADE E HIPÓTESES LEGAIS • Contextualização Controles 19 a 31
• 21: GOVERNANÇA do objetivo do
• 22: POLÍTICAS, PROCESSOS E PROCEDIMENTOS controle
• 23: CONSCIENTIZAÇÃO E TREINAMENTO
• Medidas de
• 24: MINIMIZAÇÃO DE DADOS • Por que privacidade a serem
• 25: GESTÃO DO TRATAMENTO
• 26: ACESSO E QUALIDADE implementar? implementadas para
• 27: COMPARTILHAMENTO, TRANSFERÊNCIA E
DIVULGAÇÃO •Fique Atento! os controles.
• 28: SUPERVISÃO EM TERCEIROS
• 29: ABERTURA, TRANSPARÊNCIA E NOTIFICAÇÃO
• 30: AVALIAÇÃO DE IMPACTO, MONITORAMENTO E
AUDITORIA
• 31: SEGURANÇA APLICADA A PRIVACIDADE

11
Capítulo 5 - Implementação

12
 Capítulo 6 - Maturidade
Metodologia enxuta para facilitar a avaliação dos órgãos e o
Premissa acompanhamento pela SGD

Níveis de
Implementação
Adota em maior parte ou totalmente
Adota em menor parte
Adota parcialmente Cálculo da
Avaliação por
Medida Há decisão formal ou plano aprovado Maturidade
para implementar

A organização não adota essa medida

Não se aplica
13
 Capítulo 6 – Maturidade
Abordagem em Profundidade
iSeg & iPriv

Control Self-Assessment
(CSA)
▪ Relação entre implementação e
Maturidade capacidade
▪ 5 faixas de maturidade

▪ Tem como objetivo avaliar o nível de efetividade da

adequação de um controle
Capacidade ▪ Avaliação por controle
▪ 6 níveis de capacidade

▪ Expressa uma análise sobre a amplitude de implementação da respectiva medida, considerando a

abrangência de ativos de informação que possuem aplicabilidade
Implementação ▪ Avaliação por medida
▪ 6 níveis de implementação

14
Capítulo 7 - Ferramenta de acompanhamento da
implementação do Framework

Ressalta que a SGD

desenvolveu uma
ferramenta em formato de
planilha para automação do
Framework, destacando o
link para download.

A ferramenta tem um
manual próprio a fim de
orientar seu uso.

15
Capítulo 8 – Considerações Finais

Benefícios
✓ Ampliação da confiabilidade e da proteção de sistemas informáticos
contra os principais ataques que podem resultar em incidentes de segurança.
✓ Aprimoramento da privacidade e da proteção dos dados pessoais dos
cidadãos inseridos nas bases de dados governamentais.
✓ Aumento da confiança da população nos serviços digitais prestados pelo
governo federal.
✓ Disseminação da cultura de privacidade e segurança da informação nas
instituições.
✓ Criação de uma linguagem comum de controles e de medidas de
privacidade e segurança para os órgãos do SISP e demais partes interessadas;
e
✓ Aumento da confiança mútua para compartilhamento de dados entre as
instituições públicas devido a evolução dos níveis de maturidade em
privacidade e segurança da informação dos ambientes tecnológicos.

16
 Framework de Privacidade e Segurança da
Informação
3ª Linha
de Defesa

Ferramenta de
3 Automação do
Framework
17
Ferramenta de Automação do Framework
Visão Geral

18
 Obrigado!
Leonardo Rodrigo Ferreira
Diretor de Privacidade e Segurança da Informação

Secretaria de Governo Digital(SGD/MGISP)