Atos do Poder Executivo
DECRETO Nº 9.637, DE
26 DE DEZEMBRO DE 2018
Institui a
Política Nacional de Segurança da Informação, dispõe sobre a governança da
segurança da informação, e altera o Decreto nº 2.295, de 4 de agosto de 1997,
que regulamenta o disposto no art. 24,caput,inciso
IX, da Lei nº 8.666, de 21 de junho de 1993, e dispõe sobre a dispensa de
licitação nos casos que possam comprometer a segurança nacional.
O PRESIDENTE DA REPÚBLICA, no uso da atribuição que lhe confere o art. 84,caput, inciso VI, alínea
"a", da Constituição,
D E C R E T A :
CAPÍTULO I
DISPOSIÇÕES GERAIS
Art. 1º Fica instituída a Política Nacional de Segurança da
Informação - PNSI, no âmbito da administração pública federal, com a finalidade
de assegurar a disponibilidade, a integridade, a confidencialidade e a
autenticidade da informação a nível nacional.
Art. 2º Para os fins do disposto neste Decreto, a segurança
da informação abrange:
I - a segurança cibernética;
II - a defesa cibernética;
III - a segurança física e a proteção de dados
organizacionais; e
IV - as ações destinadas a assegurar a disponibilidade, a
integridade, a confidencialidade e a autenticidade da informação.
CAPÍTULO II
DOS PRINCÍPIOS
Art. 3º São princípios da PNSI:
I - soberania nacional;
II - respeito e promoção dos direitos humanos e das garantias
fundamentais, em especial a liberdade de expressão, a proteção de dados
pessoais, a proteção da privacidade e o acesso à informação;
III - visão abrangente e sistêmica da segurança da informação;
IV - responsabilidade do País na coordenação de esforços e no
estabelecimento de políticas, estratégias e diretrizes relacionadas à segurança
da informação;
V - intercâmbio científico e tecnológico relacionado à
segurança da informação entre os órgãos e as entidades da administração pública
federal;
VI - preservação do acervo histórico nacional;
VII - educação como alicerce fundamental para o fomento da
cultura em segurança da informação;
VIII - orientação à gestão de riscos e à gestão da segurança
da informação;
IX - prevenção e tratamento de incidentes de segurança da
informação;
X - articulação entre as ações de segurança cibernética, de
defesa cibernética e de proteção de dados e ativos da informação;
XI - dever dos órgãos, das entidades e dos agentes públicos
de garantir o sigilo das informações imprescindíveis à segurança da sociedade e
do Estado e a inviolabilidade da intimidade da vida privada, da honra e da
imagem das pessoas;
XII -need
to knowpara o acesso à informação sigilosa, nos termos da legislação;
XIII - consentimento do proprietário da informação sigilosa
recebida de outros países, nos casos dos acordos internacionais;
XIV - cooperação entre os órgãos de investigação e os órgãos
e as entidades públicos no processo de credenciamento de pessoas para acesso às
informações sigilosas;
XV - integração e cooperação entre o Poder Público, o setor
empresarial, a sociedade e as instituições acadêmicas; e
XVI - cooperação internacional, no campo da segurança da
informação.
CAPÍTULO III
DOS OBJETIVOS
Art. 4º São objetivos da PNSI:
I - contribuir para a segurança do indivíduo, da sociedade e
do Estado, por meio da orientação das ações de segurança da informação,
observados os direitos e as garantias fundamentais;
II - fomentar as atividades de pesquisa científica, de
desenvolvimento tecnológico e de inovação relacionadas à segurança da
informação;
III - aprimorar continuamente o arcabouço legal e normativo
relacionado à segurança da informação;
IV - fomentar a formação e a qualificação dos recursos
humanos necessários à área de segurança da informação;
V - fortalecer a cultura da segurança da informação na
sociedade;
VI - orientar ações relacionadas a:
a) segurança dos dados custodiados por entidades públicas;
b) segurança da informação das infraestruturas críticas;
c) proteção das informações das pessoas físicas que possam
ter sua segurança ou a segurança das suas atividades afetada, observada a
legislação específica; e
d) tratamento das informações com restrição de acesso; e
VII - contribuir para a preservação da memória cultural
brasileira.
CAPÍTULO IV
DOS INSTRUMENTOS
Art. 5º São instrumentos da PNSI:
I - a Estratégia Nacional de Segurança da Informação; e
II - os planos nacionais.
Art. 6º A Estratégia Nacional de Segurança da Informação
conterá as ações estratégicas e os objetivos relacionados à segurança da
informação, em consonância com as políticas públicas e os programas do Governo
federal, e será dividida nos seguintes módulos, entre outros, a serem definidos
no momento de sua publicação:
I - segurança cibernética;
II - defesa cibernética;
III - segurança das infraestruturas críticas;
IV - segurança da informação sigilosa; e
V - proteção contra vazamento de dados.
Parágrafo único. A construção da Estratégia Nacional de
Segurança da Informação terá a ampla participação da sociedade e dos órgãos e
das entidades do Poder Público.
Art. 7º Os planos nacionais de que trata o inciso II docaputdo art. 5º
conterão:
I - o detalhamento da execução das ações estratégicas e dos
objetivos da Estratégia Nacional de Segurança da Informação;
II - o planejamento, a organização, a coordenação das
atividades e do uso de recursos para a execução das ações estratégicas e o
alcance dos objetivos da Estratégia Nacional de Segurança da Informação; e
III - a atribuição de responsabilidades, a definição de
cronogramas e a apresentação da análise de riscos e das ações de contingência
que garantam o atingimento dos resultados esperados.
Parágrafo único. Os planos nacionais serão divididos em temas
e designados a um órgão responsável, conforme estabelecido na Estratégia
Nacional de Segurança da Informação.
CAPÍTULO V
DO COMITÊ GESTOR DA SEGURANÇA DA
INFORMAÇÃO
Art. 8º Fica instituído o Comitê Gestor da Segurança da
Informação, com atribuição de assessorar o Gabinete de Segurança Institucional
da Presidência da República nas atividades relacionadas à segurança da
informação.
Art. 9º O Comitê será composto por um representante titular e
respectivo suplente indicados pelos seguintes órgãos:
I - Gabinete de Segurança Institucional da Presidência da
República, que o coordenará;
II - Casa Civil da Presidência da República;
III - Ministério da Justiça;
IV - Ministério da Segurança Pública;
V - Ministério da Defesa;
VI - Ministério das Relações Exteriores;
VII - Ministério da Fazenda;
VIII - Ministério dos Transportes, Portos e Aviação Civil;
IX - Ministério da Agricultura, Pecuária e Abastecimento;
X - Ministério da Educação;
XI - Ministério da Cultura;
XII - Ministério do Trabalho;
XIII - Ministério do Desenvolvimento Social;
XIV - Ministério da Saúde;
XV - Ministério da Indústria, Comércio Exterior e Serviços;
XVI - Ministério de Minas e Energia;
XVII - Ministério do Planejamento, Desenvolvimento e Gestão;
XVIII - Ministério da Ciência, Tecnologia, Inovações e
Comunicações;
XIX - Ministério do Meio Ambiente;
XX - Ministério do Esporte;
XXI - Ministério do Turismo;
XXII - Ministério da Integração Nacional;
XXIII - Ministério das Cidades;
XXIV - Ministério da Transparência e Controladoria-Geral da
União;
XXV - Ministério dos Direitos Humanos;
XXVI - Secretaria-Geral da Presidência da República;
XXVII - Secretaria de Governo da Presidência da República;
XXVIII - Advocacia-Geral da União; e
XXIX - Banco Central do Brasil.
§ 1º Os membros do Comitê serão indicados pelos titulares dos
órgãos mencionados nocaput,
no prazo de dez dias, contado da data de publicação deste Decreto, e serão
designados em ato do Ministro de Estado Chefe do Gabinete de Segurança
Institucional da Presidência da República, no prazo de vinte dias, contado da
data de publicação deste Decreto.
§ 2º A indicação do membro titular dos órgãos mencionados nocaputrecairá no gestor
de segurança da informação de que trata o inciso III docaputdo art. 15, e o
respectivo suplente deverá ocupar cargo em comissão do Grupo-Direção e
Assessoramento Superiores, de nível 4 ou superior, ou equivalente.
§ 3º Os membros titulares do Comitê serão substituídos pelos
respectivos suplentes, em suas ausências ou impedimentos.
§ 4º A participação no Comitê será considerada prestação de
serviço público relevante, não remunerada.
§ 5º No prazo de noventa dias, contado da data de publicação
deste Decreto, será aprovado regimento interno para dispor sobre a organização
e o funcionamento do Comitê.
Art. 10. O Comitê se reunirá, em caráter ordinário,
semestralmente e, em caráter extraordinário, por convocação de seu Coordenador.
§ 1º As reuniões do Comitê ocorrerão, em primeira convocação,
com a presença da maioria simples de seus membros ou, quinze minutos após a
hora estabelecida, em segunda convocação, com a presença de, no mínimo, um
terço de seus membros.
§ 2º O Comitê poderá instituir grupos de trabalho ou câmaras
técnicas para tratar de temas específicos relacionados à segurança da
informação e poderá convidar representantes do setor público ou privado e
especialistas com notório saber.
§ 3º A composição, o funcionamento e as competências dos
grupos de trabalho ou câmaras técnicas serão estabelecidos pelo Comitê.
§ 4º As deliberações do Comitê serão aprovadas pela maioria
simples dos membros presentes e o Coordenador, além do voto regular, terá o
voto de desempate.
Art. 11. O Gabinete de Segurança Institucional da Presidência
da República prestará o apoio técnico e administrativo necessário ao Comitê.
CAPÍTULO VI
DAS COMPETÊNCIAS
SEÇÃO I
DO GABINETE DE
SEGURANÇA INSTITUCIONAL DA PRESIDÊNCIA DA REPÚBLICA
Art. 12. Compete ao Gabinete de Segurança Institucional da
Presidência da República, nos temas relacionados à segurança da informação,
assessorado pelo Comitê Gestor da Segurança da Informação:
I - estabelecer norma sobre a definição dos requisitos
metodológicos para a implementação da gestão de risco dos ativos da informação
pelos órgãos e pelas entidades da administração pública federal;
II - aprovar diretrizes, estratégias, normas e recomendações;
III - elaborar e implementar programas sobre segurança da
informação destinados à conscientização e à capacitação dos servidores públicos
federais e da sociedade;
IV - acompanhar a evolução doutrinária e tecnológica, em
âmbito nacional e internacional;
V - elaborar e publicar a Estratégia Nacional de Segurança da
Informação, em articulação com o Comitê Interministerial para a Transformação
Digital, criado pelo Decreto nº 9.319, de 21 de março de 2018;
VI - apoiar a elaboração dos planos nacionais vinculados à
Estratégia Nacional de Segurança da Informação;
VII - estabelecer critérios que permitam o monitoramento e a
avaliação da execução da PNSI e de seus instrumentos;
VIII - propor a edição dos atos normativos necessários à
execução da PNSI; e
IX - estabelecer os requisitos mínimos de segurança para o
uso dos produtos que incorporem recursos de segurança da informação, de modo a
assegurar a disponibilidade, a integridade, a confidencialidade e a
autenticidade da informação e garantir a interoperabilidade entre os sistemas
de segurança da informação, ressalvadas as competências específicas de outros
órgãos.
Parágrafo único. Nas hipóteses de que trata o inciso IX docaput, quando se tratar
de competência de outro órgão, caberá ao Gabinete de Segurança Institucional da
Presidência da República propor as atualizações referentes à segurança da
informação.
SEÇÃO II
DO MINISTÉRIO DA
DEFESA
Art. 13. Ao Ministério da Defesa compete:
I - apoiar o Gabinete de Segurança Institucional da
Presidência da República nas atividades relacionadas à segurança cibernética; e
II - elaborar as diretrizes, os dispositivos e os
procedimentos de defesa que atuem nos sistemas relacionados à defesa nacional
contra ataques cibernéticos.
SEÇÃO III
DO MINISTÉRIO DA
TRANSPARÊNCIA E CONTROLADORIA-GERAL DA UNIÃO
Art. 14. Ao Ministério da Transparência e Controladoria-Geral
da União compete auditar a execução das ações da Política Nacional de Segurança
da Informação de responsabilidade dos órgãos e das entidades da administração
pública federal.
SEÇÃO IV
DOS ÓRGÃOS E DAS
ENTIDADES DA ADMINISTRAÇÃO PÚBLICA FEDERAL
Art. 15. Aos órgãos e às entidades da administração pública
federal, em seu âmbito de atuação, compete:
I - implementar a PNSI;
II - elaborar sua política de segurança da informação e as
normas internas de segurança da informação, observadas as normas de segurança
da informação editadas pelo Gabinete de Segurança Institucional da Presidência
da República;
III - designar um gestor de segurança da informação interno,
indicado pela alta administração do órgão ou da entidade;
IV - instituir comitê de segurança da informação ou estrutura
equivalente, para deliberar sobre os assuntos relativos à PNSI;
V - destinar recursos orçamentários para ações de segurança
da informação;
VI - promover ações de capacitação e profissionalização dos
recursos humanos em temas relacionados à segurança da informação;
VII - instituir e implementar equipe de tratamento e resposta
a incidentes em redes computacionais, que comporá a rede de equipes formada
pelos órgãos e entidades da administração pública federal, coordenada pelo
Centro de Tratamento de Incidentes de Redes do Governo do Gabinete de Segurança
Institucional da Presidência da República;
VIII - coordenar e executar as ações de segurança da
informação no âmbito de sua atuação;
IX - consolidar e analisar os resultados dos trabalhos de
auditoria sobre a gestão de segurança da informação; e
X - aplicar as ações corretivas e disciplinares cabíveis nos
casos de violação da segurança da informação.
§ 1º O comitê de segurança da informação interno de que trata
o inciso IV docaputserá
composto por:
I - o gestor da segurança da informação do órgão ou da
entidade, de que trata o inciso III docaput,
que o coordenará;
II - um representante da Secretaria-Executiva ou da unidade
equivalente do órgão ou da entidade;
III - um representante de cada unidade finalística do órgão
ou da entidade; e
IV - o titular da unidade de tecnologia da informação e
comunicação do órgão ou da entidade.
§ 2º Os membros do comitê de segurança da informação interno
de que tratam os incisos II e III do § 1º deverão ocupar cargo em comissão do
Grupo-Direção e Assessoramento Superiores, de nível 5 ou superior, ou
equivalente.
§ 3º O comitê de segurança da informação interno dos órgãos e
das entidades da administração pública federal tem as seguintes atribuições:
I - assessorar na implementação das ações de segurança da
informação;
II - constituir grupos de trabalho para tratar de temas e
propor soluções específicas sobre segurança da informação;
III - propor alterações na política de segurança da
informação interna; e
IV - propor normas internas relativas à segurança da
informação.
Art. 16. Os órgãos e as entidades da administração pública
federal editarão atos para definir a forma de funcionamento dos respectivos
comitês de segurança da informação, observado o disposto neste Decreto e na
legislação.
Art. 17. Compete à alta administração dos órgãos e das
entidades da administração pública federal a governança da segurança da
informação, e especialmente:
I - promover a simplificação administrativa, a modernização
da gestão pública e a integração dos serviços públicos, especialmente aqueles
prestados por meio eletrônico, com vistas à segurança da informação;
II - monitorar o desempenho e avaliar a concepção, a
implementação e os resultados da sua política de segurança da informação e das
normas internas de segurança da informação;
III - incorporar padrões elevados de conduta para a garantia
da segurança da informação e orientar o comportamento dos agentes públicos, em
consonância com as funções e as atribuições de seus órgãos e de suas entidades;
IV - planejar a execução de programas, de projetos e de
processos relativos à segurança da informação;
V - estabelecer diretrizes para o processo de gestão de
riscos de segurança da informação;
VI - observar as normas que estabelecem requisitos e
procedimentos para a segurança da informação publicadas pelo Gabinete de
Segurança Institucional da Presidência da República;
VII - implementar controles internos fundamentados na gestão
de riscos da segurança da informação;
VIII - instituir um sistema de gestão de segurança da
informação;
IX - implantar mecanismo de comunicação imediata sobre a
existência de vulnerabilidades ou incidentes de segurança que impactem ou
possam impactar os serviços prestados ou contratados pelos órgãos da
administração pública federal; e
X - observar as normas e os procedimentos específicos
aplicáveis, implementar e manter mecanismos, instâncias e práticas de
governança da segurança da informação em consonância com os princípios e as
diretrizes estabelecidos neste Decreto e na legislação.
§ 1º O planejamento e a execução de programas, de projetos e
de processos relativos à segurança da informação de que trata o inciso IV docaputserão orientados
para:
I - a utilização de recursos criptográficos adequados aos
graus de sigilo exigidos no tratamento das informações e as restrições de
acesso estabelecidas para o compartilhamento das informações, observada a
legislação;
II - o aumento da resiliência dos ativos de tecnologia da
informação e comunicação e dos serviços definidos como estratégicos pelo
Governo federal;
III - a contínua cooperação entre as equipes de resposta e de
tratamento de incidentes de segurança na administração pública federal direta,
autárquica e fundacional e o Centro de Tratamento de Incidentes de Redes do
Governo do Gabinete de Segurança Institucional da Presidência da República; e
IV - a priorização da interoperabilidade de tecnologias,
processos, informações e dados, com a promoção:
a) da integração e do compartilhamento dos ativos de
informação do Governo federal ou daqueles sob sua custódia;
b) da uniformização e da redução da fragmentação das bases de
informação de interesse do Governo federal e da sociedade;
c) da integração e do compartilhamento das redes de
telecomunicações da administração pública federal direta, autárquica e
fundacional; e
d) da padronização da comunicação entre sistemas.
§ 2º O sistema de gestão de segurança da informação de que
trata o inciso VIII docaputidentificará
as necessidades da organização quanto aos requisitos de segurança da informação
e implementará o processo de gestão de riscos de segurança da informação.
Art. 18. Os órgãos e as entidades da administração pública
federal direta, autárquica e fundacional, nos atos administrativos que envolvam
ativos de tecnologia da informação, sem prejuízo dos demais dispositivos
legais, incorporarão as normas de segurança da informação estabelecidas pelo
Gabinete de Segurança Institucional da Presidência da República e os normativos
de gestão de tecnologia da informação e comunicação e de segurança da informação
do Ministério do Planejamento, Desenvolvimento e Gestão.
CAPÍTULO VII
DISPOSIÇÕES FINAIS
Art. 19. O Ministro de Estado Chefe do Gabinete de Segurança
Institucional da Presidência da República editará, no prazo de noventa dias,
contado da data de publicação deste Decreto, glossário com a definição dos
termos técnicos e operacionais relativos à segurança da informação, que será
utilizado como referência conceitual para as normas e os regulamentos
relacionados à segurança da informação.
Art. 20. O Ministro de Estado Chefe do Gabinete de Segurança
Institucional da Presidência da República poderá expedir atos complementares
necessários à aplicação deste Decreto.
Art. 21. O Decreto nº 2.295, de 4 de agosto de 1997, passa a
vigorar com as seguintes alterações:
"Art. 1º ..............................
..............................
III - aquisição de equipamentos e contratação de serviços
técnicos especializados para as áreas de inteligência, de segurança da
informação, de segurança cibernética, de segurança das comunicações e de defesa
cibernética.
..............................
Art. 22. Ficam revogados:
I - o Decreto nº 3.505, de 13 de junho de 2000; e
II - o Decreto nº 8.135, de 4 de novembro de 2013.
Art. 23. Este Decreto entra em vigor na data de sua
publicação.
Brasília, 26 de dezembro de 2018; 197º da Independência e
130º da República.
MICHEL TEMER
SERGIO WESTPHALEN ETCHEGOYEN
0 comentários:
Postar um comentário