Institui o Comitê Estratégico de Segurançada Informação e Comunicações do Ministérioda Fazenda (CSIC-MF), estabelece diretrizespara a elaboração do Modelo deGovernança da Segurança da Informação edas Comunicações do Ministério da Fazenda,e dá outras providências.
O MINISTRO DE ESTADO DA FAZENDA, no uso dasatribuições que lhe confere o art. 87, parágrafo único, inciso I, daConstituição, e tendo em vista o disposto no Decreto nº 3.505, de 13de junho de 2000, as diretrizes do Governo Brasileiro referentes àsegurança da informação e comunicações e a necessidade de promoçãodo alinhamento e coordenação das ações de segurança dainformação e comunicações no âmbito do Ministério da Fazenda,resolve:
CAPÍTULO I
DISPOSIÇÕES GERAIS
Art. 1º Esta Portaria institui o Comitê Estratégico de Segurançada Informação e Comunicações do Ministério da Fazenda(CSIC-MF), estabelece diretrizes para a elaboração do Modelo deGovernança da Segurança da Informação e das Comunicações doMinistério da Fazenda e atribui competências a órgãos e autoridadesdo Ministério da Fazenda sobre o tema.
Art. 2º Para os efeitos desta Portaria, entende-se:
I - Modelo de Governança da Segurança da Informação eComunicações do Ministério da Fazenda: arranjos institucionais quecondicionam a forma pela qual as políticas de segurança da informaçãoe das comunicações são formuladas, implementadas e avaliadasno âmbito do Ministério da Fazenda (MF), podendo se referir,entre outros aspectos, a estruturas, processos, mecanismos, princípios,regras, normas que influenciam a governança relativa àquelas políticas;
II- Política de Segurança da Informação e Comunicações doMinistério da Fazenda: documento aprovado pela autoridade competente,com o objetivo de fornecer diretrizes, critérios e suporteadministrativo suficientes à implementação da segurança da informaçãoe comunicações;
III - Gestão de Segurança da Informação e Comunicações:ações e métodos que visam à integração das atividades de gestão deriscos, gestão de continuidade do negócio, tratamento de incidentes,tratamento da informação, conformidade, credenciamento, segurançacibernética, segurança física, segurança lógica, segurança orgânica esegurança organizacional aos processos institucionais estratégicos,operacionais e táticos, não se limitando, portanto, à tecnologia dainformação;
IV - Segurança da Informação e Comunicações: ações queobjetivam viabilizar e assegurar a disponibilidade, a integridade, aconfidencialidade e a autenticidade das informações, de modo a protegeros sistemas de informação contra a negação de serviço a usuáriosautorizados, bem como contra a intrusão e a modificação desautorizadade dados ou informações, armazenados, em processamentoou em trânsito, abrangendo, inclusive, a segurança dos recursoshumanos, da documentação e do material, das áreas e instalaçõesdas comunicações e computacional, assim como as destinadasa prevenir, detectar, deter e documentar eventuais ameaças aseu desenvolvimento;
V - disponibilidade: propriedade de que a informação estejaacessível e utilizável sob demanda por uma pessoa física ou determinadosistema, órgão ou entidade;
VI - integridade: propriedade de que a informação não foimodificada ou destruída de maneira não autorizada ou acidental;
VII - confidencialidade: propriedade de que a informaçãonão esteja disponível ou revelada a pessoa física, sistema, órgão ouentidade não autorizado e credenciado;
VIII - autenticidade: propriedade de que a informação foiproduzida, expedida, modificada ou destruída por uma determinadapessoa física, ou por um determinado sistema, órgão ou entidade;
IX - incidente de segurança: ação ou omissão, intencional ouacidental, que resulta no comprometimento da segurança da informaçãoe das comunicações;
X - tratamento da informação: recepção, produção, reprodução,utilização, acesso, transporte, transmissão, distribuição, armazenamento,eliminação e controle da informação, inclusive as sigilosas;e
XI - certificado de conformidade: garantia formal de que umproduto ou serviço, devidamente identificado, está em conformidadecom uma norma legal.
CAPÍTULO II
DO COMITÊ ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃOE DAS COMUNICAÇÕES DO MINISTÉRIO DAFA Z E N D A
Art. 3º Fica instituído o Comitê Estratégico de Segurança daInformação e Comunicações do Ministério da Fazenda (CSIC-MF),órgão colegiado vinculado ao Comitê Estratégico de Gestão do Ministérioda Fazenda (CEG-MF) instituído pela Portaria MF nº 369, de28 de julho de 2011.
§ 1º O CSIC-MF, de caráter consultivo e deliberativo, tempor objetivo o estabelecimento de políticas e diretrizes estratégiastransversais relativas à segurança da informação e comunicações noâmbito do Ministério da Fazenda.
§ 2º As políticas propostas e ações empreendidas pelo CSICMFnão alcançarão as entidades vinculadas ao Ministério da Fazenda.
§3º A coordenação do CSIC-MF ficará a cargo do gestor desegurança da informação e comunicações do Ministério da Fazenda.
Art. 4º Ao CSIC-MF compete:
I - assessorar os órgãos do Ministério da Fazenda na implementaçãodas ações transversais de segurança da informação ecomunicações;
II - constituir grupos de trabalho para tratar de temas epropor soluções específicas sobre segurança da informação e comunicações;
III- propor normas transversais relativas à segurança dainformação e comunicações;
IV - elaborar e propor alterações na Política de Segurança daInformação e Comunicações do Ministério da Fazenda (POSIC-MF),observado o disposto na Norma Complementar nº03/IN01/DSIC/GSIPR, do Departamento de Segurança da Informaçãoe Comunicações do Gabinete de Segurança Institucional da Presidênciada República (DSIC/GSIPR) e nos §§ 1º e 2º deste artigo;
V - elaborar e propor alterações na Metodologia de Gestãode Segurança da Informação e Comunicações do Ministério da Fazenda,observado o disposto na Norma Complementar nº02/IN01/DSIC/GSIPR, e o disposto §§ 1º e 2º deste artigo;
VI - estabelecer diretrizes para o processo de Gestão deRiscos de Segurança da Informação e Comunicações (GRSIC), observadoo disposto na Norma Complementar nº 04/IN01/DSIC/GSIPRe no § 3º deste artigo;
VII - promover a realização de estudos de novas tecnologias,quanto a possíveis impactos na segurança da informação e comunicações;e
VIII - estabelecer e aprovar a sua forma de organização efuncionamento por meio de Regimento Interno.
§ 1º O CSIC-MF funcionará de maneira integrada e coordenadacom o Comitê de Tecnologia da Informação e Comunicaçõesdo Ministério da Fazenda (CTIC-MF) e com o Comitê deGestão de Riscos, Controle e Integridade do Ministério da Fazenda(CGRCI-MF).
§ 2º O CTIC-MF será responsável pela elaboração, aprovaçãoe encaminhamento ao CSIC-MF:
I - da Metodologia de Gestão de Segurança da Informação eComunicações do Ministério da Fazenda relativa à tecnologia dainformação; e
II - do capítulo da POSIC-MF relativo à tecnologia da informação.
§3º O CGRCI-MF será responsável pela elaboração, aprovaçãoe encaminhamento ao CSIC-MF de metodologia de gestão deriscos e de política de gestão de riscos que contribuam para o estabelecimentodas diretrizes para o processo de GRSIC do Ministérioda Fazenda.
Art. 5º O CSIC-MF será composto pelos seguintes órgãos:
I - Gabinete do Ministro da Fazenda - GMF;
II - Secretaria-Executiva do Ministério da Fazenda - SE;
III - Subsecretaria de Gestão Estratégica - SGE/SE;
IV - Subsecretaria de Planejamento, Orçamento e Administração- SPOA/SE;
V - Procuradoria Geral da Fazenda Nacional - PGFN;
VI - Secretaria da Receita Federal do Brasil - RFB;
VII - Secretaria do Tesouro Nacional - STN; e
VIII - Escola de Administração Fazendária - ESAF.
§ 1º No âmbito do CSIC-MF, a SPOA/SE representará osdemais órgãos específicos singulares e colegiados da estrutura regimentaldo Ministério da Fazenda não listados no caput.
§ 2º Cada órgão integrante do CSIC-MF indicará dois representantespara composição do colegiado, sendo que:
I - o primeiro corresponderá ao Secretário-Adjunto, Subsecretário,Chefe de Gabinete ou cargo equivalente com atribuiçõesafetas ao tema segurança da informação e comunicações; e
II - o segundo corresponderá, preferencialmente, ao gestor desegurança da informações do respectivo órgão ou a outro responsáveldefinido a critério do respectivo dirigente máximo.
§ 3º A participação no CSIC-MF não enseja remuneração dequalquer espécie, sendo considerada serviço público relevante.
Art. 6º Ao gestor de segurança da informação e comunicaçõesdo Ministério da Fazenda, compete:
I - coordenar o CSIC-MF;
II - coordenar as ações transversais de segurança da informaçãoe comunicações;
III - promover e disseminar a cultura de segurança da informaçãoe comunicações;
IV - acompanhar as investigações e as avaliações dos danosdecorrentes de incidentes de segurança;
V - propor recursos orçamentários necessários às ações transversaisde segurança da informação e comunicações;
VI - acompanhar os estudos de novas tecnologias referentesà segurança da informação e comunicações, promovidos pelo CSICMF;
VII- propor ao CSIC-MF normas transversais relativas àsegurança da informação e comunicações que julgar pertinentes; e
VIII - manter contato direto com o DSIC/GSI/PR para otrato de assuntos relativos à segurança da informação e comunicações.
Art.7º Ao Secretário-Executivo do Ministério da Fazenda,incumbe:
I - designar, dentre os membros do CSIC-MF, o gestor desegurança da informação e comunicações do Ministério da Fazenda;
II - aprovar a Política de Segurança da Informação e Comunicaçõese demais normas transversais de segurança da informaçãoe comunicações no âmbito do Ministério da Fazenda;
III - recomendar as ações corretivas e disciplinares cabíveisnos casos de incidente de segurança que transcendem os limites decompetência específicos dos órgãos que integrem a estrutura doCSIC-MF e/ou que afetem a mais de um órgão integrante da estruturaorganizacional do Ministério da Fazenda como um todo;
IV - propor programa orçamentário específico para as açõesde segurança da informação e comunicações transversais no contextoampliado do Ministério da Fazenda; e
V - encaminhar os resultados consolidados dos trabalhos deauditoria de Gestão de Segurança da Informação e Comunicaçõespara o GSI/PR.
CAPÍTULO III
DOS COMITÊS-EXECUTIVOS DE SEGURANÇA DA INFORMAÇÃOE COMUNICAÇÕES
Art. 8º Os dirigentes máximos dos órgãos do Ministério daFazenda indicados a seguir instituirão Comitês-Executivos de Segurançada Informação e Comunicações (CESICs), integrados porrepresentantes das diversas unidades de suas respectivas estruturas:
I - ESAF;
II - PGFN;
III - RFB;
IV - STN; e
V - SPOA/SE.
§ 1º Os CESICs terão, dentre outras, as seguintes atribuições:
I- promover ações em segurança da informação e comunicaçãoalinhadas com as estratégias e processos organizacionais;
II - promover a aplicação das melhores práticas de gestão desegurança da informação e comunicações; e
III - aplicar as diretrizes estabelecidas pelo CSIC-MF.
§ 2º Ao CESIC instituído no âmbito da SPOA/SE competeexercer as atribuições de que trata o § 1º no contexto dos órgãos nãolistados no caput.
§ 3º Os CESICs instituídos nos órgãos de que trata o caputserão presididos por autoridade indicada pelos respectivos dirigentesmáximos.
§ 4º As políticas formuladas e ações empreendidas pelosCESICs deverão se manter alinhadas às do CSIC-MF.
CAPÍTULO IV
DA EQUIPE DE TRATAMENTO DE RESPOSTA A INCIDENTESEM REDES COMPUTACIONAIS DO MINISTÉRIODA FAZENDA
Art. 9º A critério dos gestores dos órgãos integrantes doCSIC-MF, o tratamento de resposta a incidentes em redes computacionaispoderá ser:
I - realizado por equipe constituída no âmbito do próprioórgão para esse fim; ou
II - terceirizado, preferencialmente junto ao Serviço Federalde Processamento de Dados (SERPRO) ou à Empresa de Tecnologiae Informações da Previdência (DATAPREV), mediante contrataçãodireta, observada a Lei nº 8.666, de 21 de junho de 1993.
CAPÍTULO V
DO MODELO DE GOVERNANÇA DA SEGURANÇA DAINFORMAÇÃO E DAS COMUNICAÇÕES DO MINISTÉRIO DAFA Z E N D A
Art. 10. O Modelo de Governança da Segurança da Informaçãoe das Comunicações do Ministério da Fazenda terá comoprincipal referencial teórico e conceitual o Referencial Básico deGovernança Aplicável a Órgãos e Entidades da Administração Públicado Tribunal de Contas da União (TCU), com as adaptaçõespertinentes.
Art. 11. O Modelo de Governança da Segurança da Informaçãoe das Comunicações do Ministério da Fazenda será multinívele fundamentado, sobretudo, nos princípios da descentralização dagestão, da transparência, da conformidade, da prestação de contas, daeficiência, da eficácia, observadas a disponibilidade, integridade, confidencialidadee autenticidade das informações.
Art. 12. O Modelo de Governança da Segurança da Informaçãoe das Comunicações do Ministério da Fazenda compreenderáas seguintes instâncias:
I - instâncias externas de fiscalização, controle e regulação: oCongresso Nacional, o TCU, a Presidência da República e o Ministériodo Planejamento, Desenvolvimento e Gestão (MP), na qualidadede órgão central do Sistema de Administração dos Recursos deTecnologia da Informação (SISP);
II - instâncias externas de apoio à governança: a Controladoria-Geralda União (CGU), responsável pela avaliação, auditoria emonitoramento independente e pela comunicação dos fatos às instânciassuperiores de governança, quando cabível;
III - instâncias internas de governança: o CEG-MF, o CSICMFe os CESICs, responsáveis por definir ou avaliar a estratégia e aspolíticas, monitorar a conformidade e o desempenho destas, corrigireventuais desconformidades e por garantir que a estratégia e as políticasformuladas atendam ao interesse público;
IV - as instâncias internas de apoio à governança: a Ouvidoria-Geral(OGMF), a Corregedoria-Geral (COGER-MF), a AssessoriaEspecial de Controle Interno (ASCI-MF), o CTIC-MF, oCGRCI-MF, o Comitê de Tecnologia e Segurança da Informação daRFB; o Comitê de Gestão de Tecnologia da Informação, da PGFN, oComitê de Gestão (COGES) da STN, o Comitê de Tecnologia daInformação da ESAF, o Comitê de Tecnologia da Informação daSPOA/SE, a Coordenação-Geral de Tecnologia da Informação (COTEC)da RFB; a Coordenação de Tecnologia da Informação (CTI) daPGFN, a Coordenação-Geral de Sistemas e Tecnologia da Informação(COSIS) da STN; a Diretoria de Tecnologia e Informação (DITEC)da ESAF; a Coordenação-Geral de Tecnologia da Informação (COGTI)da SPOA/SE; a Coordenação-Geral de Desenvolvimento Institucional(CODIP) da SGE/SE, responsáveis pela realização de auditoriasinternas para avaliação e monitoramento de riscos e controlesinternos, comunicando quaisquer disfunções identificadas à alta administração,entre outras atribuições pertinentes.
CAPÍTULO VI
DOS PAPÉIS E RESPONSABILIDADES
Art. 13. Caberá ao CSIC-MF exercer a governança da segurançada informação e das comunicações no âmbito do Ministérioda Fazenda, nos termos desta Portaria, observadas as seguintes diretrizes:
I- será organizada de acordo com os arranjos institucionaisvisando a atuação integrada e coordenada no âmbito do Ministério daFazenda; e
II - será descentralizada no âmbito do Ministério da Fazenda,tendo em conta o Modelo de Governança Corporativo da Pasta, suaestrutura regimental, os arranjos institucionais de cada órgão e asdisposições desta Portaria e da legislação aplicável.
§ 1º Sem prejuízo da atuação do CSIC-MF, caberá aos CESICsexercer a governança da segurança da informação e das comunicaçõesno âmbito dos órgãos em que forem instituídos, observadoo disposto no § 2º do art. 8º.
§ 2º Não haverá subordinação hierárquica entre as áreasresponsáveis pela gestão descentralizada de segurança da informaçãoe das comunicações do Ministério da Fazenda, que deverão participardo processo de construção coletiva das políticas ministeriais relativasao tema e articular-se com vistas à cooperação mútua e à racionalizaçãode processos e de recursos, sempre com o foco em resultadose na geração de valor para as partes interessadas (sociedade,governo e mercado).
CAPÍTULO VII
DISPOSIÇÕES FINAIS
Art. 14. Esta Portaria entra em vigor a partir da data de suapublicação.