Institui a Política Nacional de Segurança da Informação, dispõe sobre
a governança da segurança da informação, e altera o Decreto nº 2.295, de 4 de
agosto de 1997, que regulamenta o disposto no art. 24, caput, inciso
IX, da Lei nº 8.666, de 21 de junho de 1993, e dispõe sobre a dispensa de
licitação nos casos que possam comprometer a segurança nacional.
|
O PRESIDENTE DA REPÚBLICA, no uso da
atribuição que lhe confere o art. 84, caput, inciso VI, alínea “a”,
da Constituição,
DECRETA:
CAPÍTULO I
DISPOSIÇÕES GERAIS
Art.
1º Fica instituída a Política Nacional de Segurança da Informação -
PNSI, no âmbito da administração pública federal, com a finalidade de assegurar
a disponibilidade, a integridade, a confidencialidade e a autenticidade da
informação a nível nacional.
I - a segurança cibernética;
II - a defesa cibernética;
III - a segurança física e a proteção
de dados organizacionais; e
IV - as ações destinadas a assegurar a disponibilidade,
a integridade, a confidencialidade e a autenticidade da informação.
CAPÍTULO II
DOS PRINCÍPIOS
I - soberania nacional;
II - respeito e promoção dos direitos
humanos e das garantias fundamentais, em especial a liberdade de expressão, a
proteção de dados pessoais, a proteção da privacidade e o acesso à informação;
III - visão abrangente e sistêmica da
segurança da informação;
IV - responsabilidade do País na
coordenação de esforços e no estabelecimento de políticas, estratégias e
diretrizes relacionadas à segurança da informação;
V - intercâmbio científico e
tecnológico relacionado à segurança da informação entre os órgãos e as
entidades da administração pública federal;
VI - preservação do acervo histórico
nacional;
VII - educação como alicerce
fundamental para o fomento da cultura em segurança da informação;
VIII - orientação à gestão de riscos e
à gestão da segurança da informação;
IX - prevenção e tratamento de
incidentes de segurança da informação;
X - articulação entre as ações de
segurança cibernética, de defesa cibernética e de proteção de dados e ativos da
informação;
XI - dever dos órgãos, das entidades e
dos agentes públicos de garantir o sigilo das informações imprescindíveis à
segurança da sociedade e do Estado e a inviolabilidade da intimidade da vida
privada, da honra e da imagem das pessoas;
XII - need to know para
o acesso à informação sigilosa, nos termos da legislação;
XIII - consentimento do proprietário da
informação sigilosa recebida de outros países, nos casos dos acordos
internacionais;
XIV - cooperação entre os órgãos de
investigação e os órgãos e as entidades públicos no processo de credenciamento
de pessoas para acesso às informações sigilosas;
XV - integração e cooperação entre o
Poder Público, o setor empresarial, a sociedade e as instituições acadêmicas; e
XVI - cooperação internacional, no
campo da segurança da informação.
CAPÍTULO III
DOS OBJETIVOS
I - contribuir para a segurança do
indivíduo, da sociedade e do Estado, por meio da orientação das ações de
segurança da informação, observados os direitos e as garantias fundamentais;
II - fomentar as atividades de pesquisa
científica, de desenvolvimento tecnológico e de inovação relacionadas à
segurança da informação;
III - aprimorar continuamente o
arcabouço legal e normativo relacionado à segurança da informação;
IV - fomentar a formação e a
qualificação dos recursos humanos necessários à área de segurança da
informação;
V - fortalecer a cultura da segurança
da informação na sociedade;
VI - orientar ações relacionadas a:
a) segurança dos dados custodiados por
entidades públicas;
b) segurança da informação das
infraestruturas críticas;
c) proteção das informações das pessoas
físicas que possam ter sua segurança ou a segurança das suas atividades
afetada, observada a legislação específica; e
d) tratamento das informações com
restrição de acesso; e
VII - contribuir para a preservação da
memória cultural brasileira.
CAPÍTULO IV
DOS INSTRUMENTOS
I - a Estratégia Nacional de Segurança
da Informação; e
II - os planos nacionais.
Art. 6º A
Estratégia Nacional de Segurança da Informação conterá as ações estratégicas e
os objetivos relacionados à segurança da informação, em consonância com as
políticas públicas e os programas do Governo federal, e será dividida nos seguintes
módulos, entre outros, a serem definidos no momento de sua publicação:
I - segurança cibernética;
II - defesa cibernética;
III - segurança das infraestruturas
críticas;
IV - segurança da informação sigilosa;
e
V - proteção contra vazamento de dados.
Parágrafo único. A construção da
Estratégia Nacional de Segurança da Informação terá a ampla participação da
sociedade e dos órgãos e das entidades do Poder Público.
I - o detalhamento da execução das
ações estratégicas e dos objetivos da Estratégia Nacional de Segurança da
Informação;
II - o planejamento, a organização, a
coordenação das atividades e do uso de recursos para a execução das ações
estratégicas e o alcance dos objetivos da Estratégia Nacional de Segurança da
Informação; e
III - a atribuição de
responsabilidades, a definição de cronogramas e a apresentação da análise de
riscos e das ações de contingência que garantam o atingimento dos resultados
esperados.
Parágrafo único. Os planos
nacionais serão divididos em temas e designados a um órgão responsável,
conforme estabelecido na Estratégia Nacional de Segurança da Informação.
CAPÍTULO V
DO COMITÊ GESTOR DA SEGURANÇA DA INFORMAÇÃO
Art. 8º Fica
instituído o Comitê Gestor da Segurança da Informação, com atribuição de
assessorar o Gabinete de Segurança Institucional da Presidência da República
nas atividades relacionadas à segurança da informação.
Art. 9º O
Comitê será composto por um representante titular e respectivo suplente
indicados pelos seguintes órgãos:
I - Gabinete de Segurança Institucional
da Presidência da República, que o coordenará;
II - Casa Civil da Presidência da
República;
III - Ministério da Justiça;
IV - Ministério da Segurança Pública;
V - Ministério da Defesa;
VI - Ministério das Relações
Exteriores;
VII - Ministério da Fazenda;
VIII - Ministério dos Transportes,
Portos e Aviação Civil;
IX - Ministério da Agricultura,
Pecuária e Abastecimento;
X - Ministério da Educação;
XI - Ministério da Cultura;
XII - Ministério do Trabalho;
XIII - Ministério do Desenvolvimento
Social;
XIV - Ministério da Saúde;
XV - Ministério da Indústria, Comércio
Exterior e Serviços;
XVI - Ministério de Minas e Energia;
XVII - Ministério do Planejamento,
Desenvolvimento e Gestão;
XVIII - Ministério da Ciência,
Tecnologia, Inovações e Comunicações;
XIX - Ministério do Meio Ambiente;
XX - Ministério do Esporte;
XXI - Ministério do Turismo;
XXII - Ministério da Integração
Nacional;
XXIII - Ministério das Cidades;
XXIV - Ministério da Transparência e
Controladoria-Geral da União;
XXV - Ministério dos Direitos Humanos;
XXVI - Secretaria-Geral da Presidência
da República;
XXVII - Secretaria de Governo da
Presidência da República;
XXVIII - Advocacia-Geral da União; e
XXIX - Banco Central do Brasil.
§ 1º Os membros do Comitê serão
indicados pelos titulares dos órgãos mencionados no caput, no prazo
de dez dias, contado da data de publicação deste Decreto, e serão designados em
ato do Ministro de Estado Chefe do Gabinete de Segurança Institucional da
Presidência da República, no prazo de vinte dias, contado da data de publicação
deste Decreto.
§ 2º A indicação do membro
titular dos órgãos mencionados no caput recairá no gestor de
segurança da informação de que trata o inciso III do caput do
art. 15, e o respectivo suplente deverá ocupar cargo em comissão do
Grupo-Direção e Assessoramento Superiores, de nível 4 ou superior, ou
equivalente.
§ 3º Os membros titulares do
Comitê serão substituídos pelos respectivos suplentes, em suas ausências ou
impedimentos.
§ 4º A participação no Comitê
será considerada prestação de serviço público relevante, não remunerada.
§ 5º No prazo de noventa dias,
contado da data de publicação deste Decreto, será aprovado regimento interno
para dispor sobre a organização e o funcionamento do Comitê.
Art. 10. O Comitê se reunirá, em
caráter ordinário, semestralmente e, em caráter extraordinário, por convocação
de seu Coordenador.
§ 1º As reuniões do Comitê
ocorrerão, em primeira convocação, com a presença da maioria simples de seus
membros ou, quinze minutos após a hora estabelecida, em segunda convocação, com
a presença de, no mínimo, um terço de seus membros.
§ 2º O Comitê poderá instituir
grupos de trabalho ou câmaras técnicas para tratar de temas específicos
relacionados à segurança da informação e poderá convidar representantes do
setor público ou privado e especialistas com notório saber.
§ 3º A composição, o
funcionamento e as competências dos grupos de trabalho ou câmaras técnicas
serão estabelecidos pelo Comitê.
§ 4º As deliberações do Comitê
serão aprovadas pela maioria simples dos membros presentes e o Coordenador,
além do voto regular, terá o voto de desempate.
Art. 11. O Gabinete de Segurança
Institucional da Presidência da República prestará o apoio técnico e
administrativo necessário ao Comitê.
CAPÍTULO VI
DAS COMPETÊNCIAS
Seção I
Do Gabinete de Segurança Institucional
da Presidência da República
Art. 12. Compete ao Gabinete
de Segurança Institucional da Presidência da República, nos temas relacionados
à segurança da informação, assessorado pelo Comitê Gestor da Segurança da Informação:
I - estabelecer norma sobre a definição
dos requisitos metodológicos para a implementação da gestão de risco dos ativos
da informação pelos órgãos e pelas entidades da administração pública federal;
II - aprovar diretrizes, estratégias,
normas e recomendações;
III - elaborar e implementar programas
sobre segurança da informação destinados à conscientização e à capacitação dos
servidores públicos federais e da sociedade;
IV - acompanhar a evolução doutrinária
e tecnológica, em âmbito nacional e internacional;
V - elaborar e publicar a Estratégia
Nacional de Segurança da Informação, em articulação com o Comitê
Interministerial para a Transformação Digital, criado pelo Decreto nº 9.319, de
21 de março de 2018;
VI - apoiar a elaboração dos planos
nacionais vinculados à Estratégia Nacional de Segurança da Informação;
VII - estabelecer critérios que
permitam o monitoramento e a avaliação da execução da PNSI e de seus
instrumentos;
VIII - propor a edição dos atos
normativos necessários à execução da PNSI; e
IX - estabelecer os requisitos mínimos
de segurança para o uso dos produtos que incorporem recursos de segurança da
informação, de modo a assegurar a disponibilidade, a integridade, a
confidencialidade e a autenticidade da informação e garantir a interoperabilidade
entre os sistemas de segurança da informação, ressalvadas as competências
específicas de outros órgãos.
Parágrafo único. Nas hipóteses de
que trata o inciso IX do caput, quando se tratar de competência de
outro órgão, caberá ao Gabinete de Segurança Institucional da Presidência da
República propor as atualizações referentes à segurança da informação.
Seção II
Do Ministério da Defesa
I - apoiar o Gabinete de Segurança
Institucional da Presidência da República nas atividades relacionadas à
segurança cibernética; e
II - elaborar as diretrizes, os
dispositivos e os procedimentos de defesa que atuem nos sistemas relacionados à
defesa nacional contra ataques cibernéticos.
Seção III
Do Ministério da Transparência e
Controladoria-Geral da União
Art. 14. Ao Ministério da
Transparência e Controladoria-Geral da União compete auditar a execução das
ações da Política Nacional de Segurança da Informação de responsabilidade dos
órgãos e das entidades da administração pública federal.
Seção IV
Dos órgãos e das entidades da
administração pública federal
Art. 15. Aos órgãos e às
entidades da administração pública federal, em seu âmbito de atuação, compete:
I - implementar a PNSI;
II - elaborar sua política de segurança
da informação e as normas internas de segurança da informação, observadas as
normas de segurança da informação editadas pelo Gabinete de Segurança
Institucional da Presidência da República;
III - designar um gestor de segurança
da informação interno, indicado pela alta administração do órgão ou da
entidade;
IV - instituir comitê de segurança da
informação ou estrutura equivalente, para deliberar sobre os assuntos relativos
à PNSI;
V - destinar recursos orçamentários
para ações de segurança da informação;
VI - promover ações de capacitação e
profissionalização dos recursos humanos em temas relacionados à segurança da
informação;
VII - instituir e implementar equipe de
tratamento e resposta a incidentes em redes computacionais, que comporá a rede
de equipes formada pelos órgãos e entidades da administração pública federal,
coordenada pelo Centro de Tratamento de Incidentes de Redes do Governo do
Gabinete de Segurança Institucional da Presidência da República;
VIII - coordenar e executar as ações de
segurança da informação no âmbito de sua atuação;
IX - consolidar e analisar os
resultados dos trabalhos de auditoria sobre a gestão de segurança da
informação; e
X - aplicar as ações corretivas e
disciplinares cabíveis nos casos de violação da segurança da informação.
§ 1º O comitê de segurança da
informação interno de que trata o inciso IV do caput será
composto por:
I - o gestor da segurança da informação
do órgão ou da entidade, de que trata o inciso III do caput, que o
coordenará;
II - um representante da
Secretaria-Executiva ou da unidade equivalente do órgão ou da entidade;
III - um representante de cada unidade
finalística do órgão ou da entidade; e
IV - o titular da unidade de tecnologia
da informação e comunicação do órgão ou da entidade.
§ 2º Os membros do comitê de
segurança da informação interno de que tratam os incisos II e III do § 1º
deverão ocupar cargo em comissão do Grupo-Direção e Assessoramento Superiores,
de nível 5 ou superior, ou equivalente.
§ 3º O comitê de segurança da
informação interno dos órgãos e das entidades da administração pública federal
tem as seguintes atribuições:
I - assessorar na implementação das
ações de segurança da informação;
II - constituir grupos de trabalho para
tratar de temas e propor soluções específicas sobre segurança da informação;
III - propor alterações na política de
segurança da informação interna; e
IV - propor normas internas relativas à
segurança da informação.
Art. 16. Os órgãos e as entidades
da administração pública federal editarão atos para definir a forma de
funcionamento dos respectivos comitês de segurança da informação, observado o
disposto neste Decreto e na legislação.
Art. 17. Compete à alta
administração dos órgãos e das entidades da administração pública federal a
governança da segurança da informação, e especialmente:
I - promover a simplificação
administrativa, a modernização da gestão pública e a integração dos serviços
públicos, especialmente aqueles prestados por meio eletrônico, com vistas à
segurança da informação;
II - monitorar o desempenho e avaliar a
concepção, a implementação e os resultados da sua política de segurança da
informação e das normas internas de segurança da informação;
III - incorporar padrões elevados de
conduta para a garantia da segurança da informação e orientar o comportamento
dos agentes públicos, em consonância com as funções e as atribuições de seus
órgãos e de suas entidades;
IV - planejar a execução de programas,
de projetos e de processos relativos à segurança da informação;
V - estabelecer diretrizes para o
processo de gestão de riscos de segurança da informação;
VI - observar as normas que estabelecem
requisitos e procedimentos para a segurança da informação publicadas pelo
Gabinete de Segurança Institucional da Presidência da República;
VII - implementar controles internos
fundamentados na gestão de riscos da segurança da informação;
VIII - instituir um sistema de gestão
de segurança da informação;
IX - implantar mecanismo de comunicação
imediata sobre a existência de vulnerabilidades ou incidentes de segurança que
impactem ou possam impactar os serviços prestados ou contratados pelos órgãos
da administração pública federal; e
X - observar as normas e os
procedimentos específicos aplicáveis, implementar e manter mecanismos, instâncias
e práticas de governança da segurança da informação em consonância com os
princípios e as diretrizes estabelecidos neste Decreto e na legislação.
§ 1º O planejamento e a execução de
programas, de projetos e de processos relativos à segurança da informação de
que trata o inciso IV do caput serão orientados para:
I - a utilização de recursos
criptográficos adequados aos graus de sigilo exigidos no tratamento das
informações e as restrições de acesso estabelecidas para o compartilhamento das
informações, observada a legislação;
II - o aumento da resiliência dos
ativos de tecnologia da informação e comunicação e dos serviços definidos como
estratégicos pelo Governo federal;
III - a contínua cooperação entre as
equipes de resposta e de tratamento de incidentes de segurança na administração
pública federal direta, autárquica e fundacional e o Centro de Tratamento de
Incidentes de Redes do Governo do Gabinete de Segurança Institucional da
Presidência da República; e
IV - a priorização da
interoperabilidade de tecnologias, processos, informações e dados, com a
promoção:
a) da integração e do compartilhamento
dos ativos de informação do Governo federal ou daqueles sob sua custódia;
b) da uniformização e da redução da
fragmentação das bases de informação de interesse do Governo federal e da
sociedade;
c) da integração e do compartilhamento
das redes de telecomunicações da administração pública federal direta,
autárquica e fundacional; e
d) da padronização da comunicação entre
sistemas.
§ 2º O sistema de gestão de
segurança da informação de que trata o inciso VIII do caput identificará
as necessidades da organização quanto aos requisitos de segurança da informação
e implementará o processo de gestão de riscos de segurança da informação.
Art. 18. Os órgãos e as entidades
da administração pública federal direta, autárquica e fundacional, nos atos
administrativos que envolvam ativos de tecnologia da informação, sem prejuízo
dos demais dispositivos legais, incorporarão as normas de segurança da
informação estabelecidas pelo Gabinete de Segurança Institucional da
Presidência da República e os normativos de gestão de tecnologia da informação
e comunicação e de segurança da informação do Ministério do Planejamento,
Desenvolvimento e Gestão.
CAPÍTULO VII
DISPOSIÇÕES FINAIS
Art. 19. O Ministro de Estado
Chefe do Gabinete de Segurança Institucional da Presidência da República
editará, no prazo de noventa dias, contado da data de publicação deste Decreto,
glossário com a definição dos termos técnicos e operacionais relativos à
segurança da informação, que será utilizado como referência conceitual para as
normas e os regulamentos relacionados à segurança da informação.
Art. 20. O Ministro de Estado
Chefe do Gabinete de Segurança Institucional da Presidência da República poderá
expedir atos complementares necessários à aplicação deste Decreto.
“Art. 1º
.........................................................................................................................
.............................................................................................................................................
III - aquisição de
equipamentos e contratação de serviços técnicos especializados para as áreas de
inteligência, de segurança da informação, de segurança cibernética, de
segurança das comunicações e de defesa cibernética.
.....................................................................................................................................”
(NR)
I - o Decreto nº 3.505, de 13 de junho de 2000; e
Brasília, 26 de dezembro de 2018; 197º
da Independência e 130º da República.
MICHEL TEMER
Sergio Westphalen Etchegoyen
Este texto não substitui o publicado no
DOU de 27.12.2018
0 comentários:
Postar um comentário