MARINHA DO BRASIL

DIRETORIA DE COMUNICAÇÕES E TECNOLOGIA DA

INFORMAÇÃO DA MARINHA
33/080.1

Rio de Janeiro, RJ, 22 de junho de 2021.

DCTIMARINST Nº 30-17

Assunto: Norma sobre a adequação dos Sistemas Digitais e Banco de Dados existentes na MB
às boas práticas de segurança para proteção dos Dados Pessoais.

Referências: A) DGMM-0540 - Normas de Tecnologia da Informação da Marinha - 3ª Revisão;

B) DCTIMARINST Nº 33-06 - Norma sobre Conformidade, Homologação e
Hospedagem de Sistemas Digitais (SD) na MB;
C) DCTIMBOTEC nº 31/002/2020 - Recomendações e Requisitos Mínimos de
Segurança para Homologação de Sistemas Digitais na MB;
D) Guia de Avaliação de Riscos de Segurança e Privacidade, disponível em
https://www.gov.br/governodigital/pt-br/governanca-de-dados;
E)Guia de Boas Práticas da LGPD, disponível em https://www.gov.br/governodigital
pt-br/governanca-de-dados;
F) CIRCULAR Nº 6/2021 do EMA, Implantação da Lei Geral de Proteção de Dados
(LGPD) na Marinha do Brasil;
G) DCTIMARINST Nº 30-12A - Gerenciamento dos registros de eventos
computacionais relevantes (logs); e
H) DCTIMARINST Nº 31-06 - Plano de Gestão de Incidentes Cibernéticos.

Anexos: Formulário LGPD

1 – PROPÓSITO

Estabelecer a sistemática para verificação de conformidade com as boas práticas de segurança

para proteção dos Sistemas Digitais (SD) e dados pessoais armazenados nas Bases de Dados em

- 1 de 5 -
63394.000383/2021-92
 DCTIMARINST Nº 30-17

uso na MB. Esta Instrução Normativa se aplica apenas aos SD e à informações em meio digital
armazenadas em Sistemas de Gerenciamento de Banco de Dados (SGBD).
2 - DISPOSIÇÕES GERAIS

A Segurança da Informação deve ser uma preocupação constante durante o todo ciclo de vida
dos SD, desde a fase de planejamento. Com o advento da Lei Geral de Proteção de Dados (LGPD),
os dados pessoais passaram a ter um tratamento especial. De acordo com a referida Lei, “os
agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a
proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de
destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou
ilícito”.
Entende-se por tratamento toda operação realizada com dados pessoais, como as que se
referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão,
distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da
informação, modificação, comunicação, transferência, difusão ou extração. Vale ressaltar que os
agentes de tratamento não são somente aqueles que realizam o tratamento de dados pessoais em
si (Operador), mas também aqueles a quem compete as decisões referentes ao tratamento
(Controlador).
Nesta Instrução Normativa serão abordados as medidas mínimas necessárias para mitigar os
riscos de vazamento de dados pessoais, bem como tratar os possíveis incidentes.

3 - SISTEMÁTICA PARA CONFORMIDADE, HOMOLOGAÇÃO E HOSPEDAGEM DE SISTEMAS

DIGITAIS NA MB

As boas práticas em segurança da informação preconizam a privacidade desde a concepção

do SD como padrão (Privacy by design and by Default), o que significa que a privacidade e a
proteção de dados devem ser consideradas desde a concepção e deve manter-se durante todo o
ciclo de vida do sistema. De acordo com a referência A, o processo de concepção de um SD inicia-
se na fase de planejamento, logo a OM deve observar o princípio da privacidade desde a
apresentação da necessidade à DCTIM.
Durante a fase de planejamento, a OM deve encaminhar, acompanhado do Documento de
Visão de Software (DVS) previsto na referência B, o Formulário LGPD (em anexo), devidamente
preenchido e assinado pelo responsável pelo desenvolvimento do SD e pelo Controlador da OM,
função esta definida na referência C, declarando que o projeto cumprirá as regras de privacidade
previstas nesta Norma. Caso não esteja previsto o tratamento de dados pessoais, a OM deverá
registrar tal fato no campo “Introdução: Contexto e Finalidade do Sistema” do DVS. Neste caso, o
Controlador da OM deve assinar o DVS, em conjunto com os demais componentes da Equipe.
As regras que serão implementadas no projeto para garantir a privacidade dos dados deverão
ser informadas no Documento de Arquitetura, Infraestrutura e Sustentação de Software (DAIS),
também previsto no processo de homologação constante da referência B. Ressalta-se que o
projeto também deverá prever o cumprimento dos requisitos de segurança constantes da
referência C.
Recomenda-se à OM, ainda, buscar identificar lacunas de segurança da informação e de
privacidade sobre os SD sob sua responsabilidade, por meio das orientações contidas na referência

- 2 de 5 -
63394.000383/2021-92
 DCTIMARINST Nº 30-17

D. Tal procedimento não apenas serve como uma oportunidade de identificação de lacunas como
também auxilia a elaboração do Relatório de Impacto à Proteção de Dados Pessoais (RIPD),
documento definido na LGPD (Artigos 10 e 38) e detalhado na referência E.

4- MECANISMO DE SEGURANÇA NOS SGBD

Com o intuito de reduzir a vulnerabilidade e possíveis vazamentos dos dados contidos em

bases de dados, recomenda-se a implementação das seguintes práticas:
4.1 Limitar a quantidade de dados e o acesso aos mesmos
Devem ser implementadas medidas para garantir que apenas serão processados os dados
pessoais necessários para cumprimento das finalidades específicas definidas pela instituição. Para
isso, a instituição deve limitar a quantidade de dados pessoais coletados, extensão do tratamento,
período de armazenamento e acessibilidade ao mínimo necessário para a concretização da
finalidade do tratamento dos dados pessoais.
Algumas práticas a serem implementadas são:
• Limitar o privilégio concedido no SGBD.
Por exemplo, uma aplicação em produção que não precisa alterar a estrutura de tabelas
deve ser executada com um usuário de banco sem esse privilégio ou um usuário que não
necessita modificar determinada tabela não deve ter esse privilégio concedido;
• Prever usuários diferentes para o banco de dados de produção e não-produção.

4.2 Manter Inventário de Informações Pessoais

Manter um inventário de todas as informações pessoais armazenadas, processadas ou
transmitidas pelos sistemas de tecnologia da instituição, incluindo aquelas localizadas localmente
ou em um provedor de serviços remoto.
Além disso, a OM deverá inserir no seu Plano de Contingência:
• Procedimentos internos de Resposta a Incidentes, ou seja, uma descrição clara dos
procedimentos que as equipes de TIC, da área de negócios, bem como os agentes de
tratamento de dados pessoais (Controlador, Supervisor e Operadores da OM) precisam
executar em caso de vazamento de dados ou ataque cibernético, incluindo os processos
de comunicação com tempo necessário para que os administradores do sistema e outros
membros da força de trabalho relatem eventos anômalos à equipe de tratamento de
incidentes, os mecanismos para tais relatórios e o tipo de informação que deve ser
incluída na notificação de incidente. O processo de comunicação deverá ser pautado
naqueles descritos nas referências F e G.
• Procedimentos internos de Disaster Recovery, ou seja, ações que a equipe de TIC deve
tomar para que o problema seja resolvido, seja um site, aplicação ou banco de dados.

4.3 Separar Ambientes de Produção e Não Produção

Muitas vezes, a aplicação que está em fase de desenvolvimento ou testes possuem bugs ou
vulnerabilidades. Desta forma, as bases de dados dos sistemas de produção e não-produção
devem ser mantidos em ambientes separados. Além disso, os desenvolvedores devem ter acesso
monitorado aos ambientes de produção. As bases de não-produção devem conter dados fictícios.
Neste caso, há algoritmos que tem como função popular bancos de dados com dados fictícios.

- 3 de 5 -
63394.000383/2021-92
 DCTIMARINST Nº 30-17

4.4 Registrar a atividade da sua base de dados

As bases de dados devem ter registros das atividades realizadas (logs de auditoria de
eventos) e as mesmas devem ser monitoradas. Os logs de auditoria de eventos ajudarão a OM a
detectar, compreender ou recuperar-se de um eventual ataque.

As OM deverão observar o seguinte, quanto ao registro de atividades:

• Cumprir os procedimentos estabelecidos na referência G;
• Registrar todas as operações realizadas na base de dados, mesmo aquelas provenientes de
usuários autorizados;
• Manter no Histórico da Rede Local (HRL) as configurações dos arquivos de registro dos
acessos de leitura ou escrita à base de dados, conforme estabelecido na alínea c do item
9.5.16 da referência A; e
• Analisar regularmente os registros de log para identificar anomalias ou eventos anormais.

4.5 Criptografia, anonimização, bloqueio e eliminação de dados

Devem ser utilizadas técnicas de criptografia para o armazenamento de dados pessoais, sejam
eles sensíveis ou não. A ferramenta adotada deve estar de acordo com as Recomendações e
Requisitos Mínimos de Segurança para Homologação de Sistemas Digitais na MB, previstas no item
3.3 da referência C.
Além disso, conforme disposições da LGPD devem ser empregados mecanismos de
anonimização ou pseudonimização sempre que couber, bem como permitir o bloqueio (suspensão
temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco
de dados) ou a eliminação de dados, de modo a possibilitar o cumprimento imediato de possíveis
solicitações ou sansões.
Segundo a LGPD, dado anonimizado é o dado que, considerados os meios técnicos razoáveis
no momento do tratamento, perde a possibilidade de associação, direta ou indireta, a um
indivíduo. Já a pseudonimização é a técnica de tratar dados pessoais de uma forma em que os
dados somente possam ser atribuídos a um titular de dados mediante a utilização de informações
adicionais, não disponíveis a todos, desde que essas informações sejam mantidas em ambiente
separado, controlado e seguro. A título ilustrativo, criptografia é um método de pseudonimização,
quando os dados somente podem ser atribuídos a um titular mediante o conhecimento da chave
criptográfica. Sem o conhecimento da chave, os dados são ininteligíveis.

5- Tratamento de Incidentes

É importante manter um histórico de eventuais incidentes de segurança da informação. Neste

caso, registar informações, tais como: (i) a descrição dos incidentes ou eventos ocorridos; (ii) as
informações, os sistemas e SGBD afetados; (iii) as medidas técnicas e de segurança, adotadas e em
uso, para a proteção das informações; (iv) os riscos relacionados ao incidente e as medidas
tomadas, a fim de evitar reincidências. A regulamentação do Tratamento de Incidentes em Redes
de Computadores da Marinha do Brasil, bem como a estrutura organizacional que compõem a

- 4 de 5 -
63394.000383/2021-92
 DCTIMARINST Nº 30-17

Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos (ETIR) da MB, encontram-se

descritas na referência H.

6 - VIGÊNCIA
Esta DCTIMARINST entra em vigor na presente data.

LUCIANA MASCARENHAS DA COSTA MARRONI

Contra-Almirante (EN)
Diretora
ASSINADO DIGITALMENTE
Distribuição:
Lista: 1
DAdM (Bol MB)
Arquivo

- 5 de 5 -
63394.000383/2021-92