PORTARIA MTE Nº 1.327, de 11.06.2010
Aprova a Política de Segurança da Informação e Comunicações - POSIC do Ministério do Trabalho e Emprego.
O MINISTRO DE ESTADO DO TRABALHO E EMPREGO, no uso das suas atribuições legais e considerando o disposto na Norma Complementar 03/IN01/DSIC/GSIPR, de 10 de junho de 2009, e deliberação do Comitê de Segurança da Informação e Comunicações - CSIC, realizada em 28 de setembro de 2009,
RESOLVE:
Art. 1º - Aprovar a Política de Segurança da Informação e Comunicações - POSIC do Ministério do Trabalho e Emprego - MTE.
CAPÍTULO I
DO ESCOPO
Art. 2º - A Política de Segurança da Informação e Comunicações - POSIC objetiva instituir diretrizes estratégicas, responsabilidades e competências, visando assegurar a integridade, confidencialidade, disponibilidade, autenticidade e legalidade dos dados, informações e documentos do Ministério do Trabalho e Emprego, contra ameaças e vulnerabilidades, de modo a preservar os seus ativos, inclusive sua imagem institucional.
Art. 3º - A POSIC trata do uso e compartilhamento do conteúdo de dados, informações e documentos no âmbito do MTE, em todo o seu ciclo de duração -
criação, manuseio, divulgação, armazenamento, transporte e descarte, visando à continuidade de seus processos vitais, em conformidade com a legislação
vigente, normas pertinentes, requisitos regulamentares e contratuais, valores éticos e as melhores práticas de segurança da informação e comunicações.
Art. 4º - Esta POSIC se aplica a todas as unidades da estrutura regimental do Ministério do Trabalho e Emprego, incluindo as unidades descentralizadas, os Órgãos Colegiados e sua entidade vinculada:
Fundação Jorge Duprat Figueiredo, de Segurança e Medicina do Trabalho - Fundacentro.
CAPÍTULO II
DOS CONCEITOS E DEFINIÇÕES
Art. 5º - Para efeitos desta POSIC, fica estabelecido o significado dos seguintes termos e expressões:
I - Agente Público: aquele que, por força de lei, contrato ou qualquer ato jurídico, preste serviços de natureza permanente, temporária, excepcional ou
eventual, ainda que sem retribuição financeira, ao MTE;
II - Ameaça: conjunto de fatores internos e externos ou causa potencial de um incidente, que pode resultar dano para um sistema ou para o MTE;
III - Ativo: aquilo que tem valor para o MTE (tais como informação, software, equipamentos, instalações, serviços, pessoas e imagem institucional);
IV - Autenticidade: propriedade que assevera que os dados ou informações são verdadeiros e fidedignos tanto na origem quanto no destino, permitindo,
inclusive, a identificação do emissor e do equipamento utilizado, quando for o caso;
V - Comitê de Segurança da Informação e Comunicações: grupo de representantes de unidades do MTE com a responsabilidade de assessorar a
implementação das ações de segurança da informação e comunicações;
VI - Confidencialidade: propriedade que garante acesso à informação somente a pessoas autorizadas. Assegura que indivíduos, sistemas, órgãos ou
entidades não autorizados não tenham conhecimento da informação, de forma proposital ou acidental;
VII - Criticidade: grau de importância da informação para a continuidade das atividades e serviços do Ministério do Trabalho e Emprego;
VIII - Descarte: eliminação correta de informações, documentos, mídias e acervos digitais;
IX - Disponibilidade: propriedade de que a informação esteja acessível e utilizável sob demanda por uma pessoa física ou determinado sistema, órgão ou
entidade;
X - Incidente de segurança da informação: evento adverso, confirmado ou sob suspeita, relacionado à segurança dos sistemas de computação ou das
redes de computadores;
XI - Integridade: propriedade de salvaguarda da inviolabilidade do conteúdo da informação na origem, no trânsito e no destino. É a garantia da
fidedignidade da informação;
XII - Resiliência: capacidade de enfrentamento ágil de situações inesperadas e de superação das adversidades para restabelecer processo de
normalidade;
XIII - Usuário: todo aquele que está autorizado a obter acesso a informações e sistemas; e
XIV - Vulnerabilidade: conjunto de fatores internos ou causa potencial de um incidente indesejado, que podem resultar em risco para o MTE, os quais
podem ser evitados por uma ação interna de segurança da informação.
CAPÍTULO III
DAS REFERÊNCIAS LEGAIS E NORMATIVAS
Art. 6º - Esta POSIC observa a legislação e normas específicas, destacando-se:
I - Lei nº 8.112, de 11 de dezembro de 1990, que dispõe sobre o regime jurídico dos servidores públicos civis da União, das autarquias e das fundações
públicas federais;
II - Lei nº 8.159, de 8 de janeiro de 1991; que dispõe sobre a Política Nacional de Arquivos Públicos e Privados e dá outras providências;
III - Lei nº 9.983, de 14 de julho de 2000, altera o Decreto-Lei nº 2.848, de 7 de dezembro de 1940 - Código Penal e dá outras providências;
IV - Decreto nº 3.505, de 13 de junho de 2000, que institui a Política de Segurança da Informação nos órgãos e entidades da Administração Pública
Federal;
V - Decreto nº 4.553, de 27 de dezembro de 2002, que dispõe sobre a salvaguarda de dados, informações, documentos e materiais sigilosos de interesse
da segurança da sociedade e do Estado, no âmbito da Administração Pública Federal, e dá outras providências;
VI - Decreto nº 5.063, de 3 de maio de 2004, que aprova a Estrutura Regimental e o Quadro Demonstrativo dos Cargos em Comissão e das Funções
Gratificadas do Ministério do Trabalho e Emprego, e dá outras providências;
VII - Decreto nº 5.482, de 30 de junho de 2005, que dispõe sobre a divulgação de dados e informações pelos órgãos e entidades da administração pública
federal, por meio da Rede Mundial de Computadores - Internet;
VIII - Decreto nº 6.029, de 1º de fevereiro de 2007, que institui o Sistema de Gestão da Ética do Poder Executivo Federal, e dá outras providências;
IX - Decreto nº 6.932, de 11 de agosto de 2009, que dispõe sobre a simplificação do atendimento público prestado ao cidadão, ratifica a dispensa do
reconhecimento de firma em documentos produzidos no Brasil, institui a "Carta de Serviços ao Cidadão" e dá outras providências;
X - Portaria Interministerial nº 140, de 16 de março de 2006, que disciplina a divulgação de dados e informações pelos órgãos e entidades da Administração Pública Federal, por meio da rede mundial de computadores - internet e dá outras providências;
XI - Portaria nº 1.177, de 30 de dezembro de 2008, que institui o Comitê de Segurança da Informação e Comunicações e designa o seu gestor no âmbito
do MTE;
XII - Instrução Normativa GSI nº 1, de 13 de junho de 2008, que disciplina a Gestão de Segurança da Informação e Comunicações na Administração Pública
Federal, direta e indireta, e dá outras providências;
XIII - Norma Complementar nº 03/IN01/DSIC/GSIPR, de 10 de junho de 2009, que estabelece as diretrizes, critérios e procedimentos para elaboração,
institucionalização, divulgação e atualização da Política de Segurança da Informação e Comunicações nos órgãos e entidades da Administração Pública
Federal, direta e indireta - APF;
XIV - Norma Complementar nº 04/IN01/DSIC/GSICPR, de 14 de agosto de 2009, que estabelece diretrizes para o processo de Gestão de Riscos de
Segurança da Informação e Comunicações - GRSIC nos órgãos ou entidades da Administração Pública Federal, direta e indireta - APF;
XV - Norma Complementar nº 05/IN01/DSIC/GSICPR, de 14 de agosto de 2009, que disciplina a criação de Equipe de Tratamento e Resposta a Incidentes
em Redes Computacionais - ETIR nos órgãos e entidades da Administração Pública Federal, direta e indireta - APF; e
XVI - Normas ABNT NBR ISO/IEC 27001e 27002, que instituem o código de melhores práticas para gestão da segurança da informação.
CAPÍTULO IV
DOS PRINCÍPIOS
Art. 7º - Esta POSIC observa os seguintes princípios, assim definidos:
I - Responsabilidade: os servidores, colaboradores, estagiários, consultores externos e prestadores de serviço devem conhecer e respeitar todas as
normas sobre Segurança da Informação e Comunicações do MTE;
II - Ética: os direitos dos servidores, colaboradores, estagiários, consultores externos e prestadores de serviço devem ser preservados, sem
comprometimento da Segurança da Informação e Comunicações;
III - Celeridade: as ações de segurança da informação e comunicações devem oferecer respostas rápidas a incidentes e falhas de segurança;
IV - Clareza: as regras de segurança dos ativos de tecnologia da informação, documentação e comunicações devem ser precisas, concisas e de fácil
entendimento;
V - Privacidade: informação que fira o respeito à intimidade e à honra dos cidadãos não pode ser divulgada; e
VI - Publicidade: dar transparência no trato da informação, observados os critérios legais.
CAPÍTULO V
DAS DIRETRIZES GERAIS
Seção I
Da Gestão da Segurança da Informação e Comunicações
Art. 8º - A Gestão da Segurança da Informação e Comunicações não se limita à tecnologia da informação e comunicações, compreendendo as ações e
métodos que visam à integração das atividades de gestão de riscos, gestão de continuidade do negócio, tratamento de incidentes, tratamento da
informação, conformidade, credenciamento, segurança cibernética, segurança física, segurança lógica, segurança orgânica e segurança organizacional aos
processos institucionais estratégicos, operacionais e táticos.
Art. 9º - Toda informação criada, adquirida ou custodiada pelo usuário, no exercício de suas atividades no MTE, é considerada um bem e propriedade do
Ministério e deve ser protegida segundo as diretrizes descritas nesta Política e demais regulamentações em vigor.
Seção II
Do Tratamento da Informação
Art. 10 - A informação e comunicações devem ser protegidas de forma preventiva, com o objetivo de minimizar riscos às atividades e serviços do MTE.
Seção III
Da Contratação de Terceiros
Art. 11 - Nos editais de licitação e nos contratos de empresas prestadoras de serviços com o Ministério do Trabalho e Emprego deverá constar cláusula
específica sobre a obrigatoriedade de atendimento às normas desta POSIC, bem como deverá ser exigida, da empresa contratada e do prestador que
venha laborar no MTE, a assinatura do Termo de Confidencialidade, conforme anexo.
§ 1º - A empresa contratada também deverá demonstrar que possui mecanismos formais de segurança que assegurem o sigilo das informações.
§ 2º - O disposto no caput deste artigo se aplica a consultores contratados e pesquisadores autorizados, remunerados ou não.
Seção IV
Da Classificação da Informação
Art. 12 - As informações criadas, armazenadas, manuseadas, transportadas ou descartadas no MTE devem ser classificadas segundo o grau de sigilo,
criticidade e outros, conforme normas e legislação específica em vigor.
Art. 13 - Todo usuário deve ser capaz de identificar a classificação atribuída a uma informação tratada pelo MTE e, a partir dela, conhecer e obedecer às
restrições de acesso e divulgação associadas.
Seção V
Da Sensibilização, Conscientização e Capacitação
Art. 14. O MTE desenvolverá processo permanente de divulgação, sensibilização, conscientização e capacitação dos usuários sobre os cuidados e deveres
relacionados à segurança da informação e comunicações.
Seção VI
Da Gestão de Riscos
Art. 15 - As áreas responsáveis por ativos da informação devem implementar processo contínuo de Gestão de Riscos, o qual será aplicado na
implementação e operação da Gestão de Segurança da Informação e Comunicações.
Seção VII
Da Gestão de Continuidade
Art. 16 - As áreas devem manter processo de gestão de continuidade das atividades e serviços do MTE, visando não permitir que estes sejam interrompidos e assegurar a sua retomada em tempo hábil, quando for o caso.
Art. 17 - A resiliência do MTE contra possíveis interrupções de sua capacidade em atingir seus principais objetivos deve ser uma prática pró-ativa de todos
os titulares de unidade administrativa, de forma a proteger a reputação e a imagem institucional do Ministério.
Art. 18 - Aprovado pelo Comitê de Segurança da Informação e Comunicações, a área de tecnologia da informação do MTE deverá manter Plano de
Contingências, gradado de acordo com o grau de probabilidade de ocorrência do evento ou sinistro, estabelecendo o conjunto de estratégias e
procedimentos que devem ser adotados em situações que comprometam o andamento normal dos processos e a conseqüente prestação dos serviços.
Parágrafo único - As medidas constantes do Plano de Contingências devem minimizar o impacto sofrido diante do acontecimento de situações inesperadas,
desastres, falhas de segurança, entre outras, até que se retorne à normalidade.
Seção VIII
Do Tratamento de Incidentes de Rede Computacional
Art. 19 - A área de tecnologia da informação manterá Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais - ETIR, instituída pelo
Comitê de Segurança da Informação e Comunicações, com a responsabilidade de receber, analisar e responder notificações e atividades relacionadas a
incidentes de segurança em rede de computadores.
Seção IX
Do Material Impróprio
Art. 20 - É expressamente proibido o acesso, guarda e encaminhamento de material não ético, discriminatório, malicioso, obsceno ou ilegal, por intermédio
de quaisquer dos meios e recursos de comunicações disponibilizados pelo MTE.
Seção X
Da Auditoria e Conformidade
Art. 21 - A área de tecnologia da informação manterá registros e procedimentos, como trilhas de auditoria e outros que assegurem o rastreamento,
acompanhamento, controle e verificação de acessos a todos os sistemas corporativos e rede interna do MTE.
Seção XI
Dos Controles de Acesso
Art. 22 - As regras de controle de acesso a todo sistema corporativo, intranet, informações e dados do MTE deverão ser definidas em norma interna
específica.
Art. 23 - O acesso às instalações do MTE deverá ser regulamentado com o objetivo de garantir a segurança dos servidores e a proteção dos ativos do
Ministério.
Seção XII
Do Correio Eletrônico Corporativo
Art. 24 - O correio eletrônico é um meio de comunicação corporativa do MTE. As regras de acesso e utilização de e-mail@mte.gov.br devem atender a todas
as orientações desta POSIC, norma interna específica e demais diretrizes do Governo.
Parágrafo único - A área de tecnologia deverá manter os controles do uso e cancelamento de acesso ao correio eletrônico.
Seção XIII
Do Acesso a Internet
Art. 25 - O acesso à rede mundial de computadores - internet, no ambiente de trabalho, deverá ser regido por norma interna, atendendo esta POSIC e
demais orientações governamentais e legislação em vigor.
Seção XIV
Das Telecomunicações
Art. 26 - O uso da telefonia fixa e móvel e outros meios de telecomunicação no MTE deverá ser regido por norma interna, em conformidade com esta POSIC
e legislação específica.
Seção XV
Do Crachá de Identificação
Art. 27 - Por questão de segurança, é obrigatório o uso de crachá de identificação em todos os ambientes e instalações do MTE.
CAPÍTULO VI
DAS PENALIDADES
Art. 28 - O usuário responde disciplinarmente e/ou civilmente pelo prejuízo que vier a ocasionar ao Ministério do Trabalho e Emprego, decorrente do
descumprimento das regras previstas nesta Política de Segurança da Informação e Comunicações - POSIC e demais normas internas e legislação vigente.
Art. 29 - A desobediência às normas estabelecidas implicará na aplicação das sanções previstas em regulamentações internas e legislação em vigor.
CAPÍTULO VII
DAS COMPETÊNCIAS E RESPONSABILIDADES
Art. 30 - O Ministério do Trabalho e Emprego mantém um Comitê de Segurança da Informação e Comunicações - CSIC competente para:
I - assessorar na implementação das ações de segurança da informação e comunicações;
II - constituir grupos de trabalho para tratar de temas e propor soluções específicas sobre segurança da informação e comunicações;
III - propor alterações na Política de Segurança da Informação e Comunicações; e
IV - propor normas relativas à segurança da informação e comunicações.
Art. 31 - No âmbito do Ministério do Trabalho e Emprego, o Gestor da Política de Segurança da Informação e Comunicações é o titular da Coordenação-Geral de Planejamento e Gestão Estratégica - CGPGE, ao qual compete:
I - promover cultura de segurança da informação e comunicações;
II - acompanhar as investigações e as avaliações dos danos decorrentes de quebras de segurança;
III - propor recursos necessários às ações de segurança da informação e comunicações;
IV - coordenar o Comitê de Segurança da Informação e Comunicações e a Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais;
V - realizar e acompanhar estudos de novas tecnologias, quanto a possíveis impactos na segurança da informação e comunicações;
VI - manter contato direto com o Departamento de Segurança da Informação e Comunicações para o trato de assuntos relativos à segurança da
informação e comunicações; e
VII - propor normas relativas à segurança da informação e comunicações.
Parágrafo único - Compete a CGPGE dar o suporte administrativo necessário à gestão da POSIC.
Art. 32 - O usuário é responsável pela segurança dos ativos e processos que estejam sob sua responsabilidade e por todos os atos executados com suas
identificações, tais como: crachá, login, senha eletrônica, certificado digital e endereço de correio eletrônico.
Parágrafo único - A identificação do usuário deve ser pessoal e intransferível, qualquer que seja a forma, permitindo de maneira clara e irrefutável o
reconhecimento do envolvido.
Art. 33 - Independentemente da adoção de outras medidas, o titular da unidade administrativa deverá, de imediato, comunicar todo incidente de segurança que ocorra no âmbito de suas atividades ao Comitê de Segurança da Informação e Comunicações - CSIC, mediante o envio de relatório circunstanciado.
Art. 34 - No caso de incidente em redes de computadores, o comunicado deve ser feito à Equipe de Tratamento e Resposta a Incidentes em Redes
Computacionais - ETIR do MTE.
Art. 35 - É dever do Agente Público do Ministério do Trabalho e Emprego conhecer e zelar pelo cumprimento desta Política de Segurança da Informação e
Comunicações.
Art. 36 - Quando for o caso, o titular da unidade administrativa do MTE providenciará autorização relativa à cessão de direitos sobre as informações de
terceiros, antes de utilizá-las.
Art. 37 - Para a cessão de informação do MTE a terceiros, o titular da unidade administrativa, ouvida a área jurídica do MTE, quando for o caso, providenciará a documentação formal relativa a essa cessão.
CAPÍTULO VIII
DA DIVULGAÇÃO
Art. 38 - Após a publicação desta POSIC, deverá ser dada ampla divulgação a todos os servidores e colaboradores do MTE, inclusive com publicação
permanente na página da intranet do MTE.
Parágrafo único - Cabe ao Gestor de Segurança da Informação e Comunicações providenciar a divulgação interna desta POSIC.
Art. 39 - Na apresentação de prestador contratado será entregue um exemplar desta POSIC, bem como colhida a assinatura do Termo de Confidencialidade, conforme anexo.
Art. 40 - Ao servidor será exigida a confirmação de conhecimento desta POSIC, quando do acesso à rede do MTE.
CAPÍTULO IX
DA ATUALIZAÇÃO
Art. 41 - Esta POSIC deverá ser revisada e atualizada, no máximo, a cada dois anos, a contar da data de sua publicação.
Art. 42 - As áreas têm prazo de 90 (noventa) dias, a contar da publicação desta POSIC, para submeterem ao Comitê de Segurança da Informação e
Comunicações - CSIC proposta de atualização ou criação das normas internas complementares e específicas sobre segurança da informação e
comunicações.
CAPÍTULO X
DA VIGÊNCIA
Art. 43. Esta POSIC entra em vigor na data de sua publicação.
Carlos Roberto Lupi
ANEXO
TERMO DE CONFIDENCIALIDADE
Eu(...), portador do RG nº(...), CPF(...), residente e domiciliado na (...), cidade de (...)/(...), CEP (...), assumo o compromisso de manter a confidencialidade de
toda documentação, informação e dados a que tenho acesso em razão de minha prestação de serviços objeto de contrato com o Ministério do Trabalho e
Emprego - MTE, inclusive após o término do contrato. Comprometo-me a guardar sigilo absoluto, e não divulgar, revelar, ou reproduzir, por quaisquer
meios, documentações, informações e dados pertencentes ao MTE. Estou ciente que o descumprimento deste termo acarretará responsabilização civil e
criminal.
(...), (...) de (...) de 20(...)
-----------------------------------------------------------------------
Assinatura