SEI/MJ - 18629773 - Resolução nº

Timbre
Ministério da Justiça e Segurança Pública

resolução Nº 17, de 15 de julho de 2022

O COMITÊ DE GOVERNANÇA ESTRATÉGICA DO MINISTÉRIO DA JUSTIÇA E SEGURANÇA PÚBLICA, no uso das atribuições que lhe são conferidas pelo art. 1º e pelo Parágrafo único do art. 2º, do Anexo I, da Portaria MJSP nº 2, de 28 de janeiro de 2022, e com base no Art. 53, do Anexo XIII, da mesma Portaria,

RESOLVE:

Art. 1º Aprovar, na forma do anexo a esta Resolução, a Norma de Segurança da Informação e Comunicação para a Prevenção contra a Perda de Dados Digitais no âmbito do Ministério da Justiça e Segurança Pública - MJSP.

Art. 2º Esta Resolução entra em vigor na data de sua publicação.

ANTONIO RAMIREZ LORENZO

ANEXO

Norma de Segurança da Informação e Comunicação para a Prevenção contra a Perda de Dados Digitais

CAPÍTULO I

DISPOSIÇÕES GERAIS

Art. 1º Esta Norma de Prevenção contra a perda de dados digitais do Ministério da Justiça e Segurança Pública complementa a Política de Segurança da Informação e Comunicação do Ministério, com a finalidade de fornecer orientação para a rotulação dos dados e definir os requisitos de tratamento com base nessa categorização.

Parágrafo único. Esta norma não se relaciona com as políticas de classificação da informação previstas na Lei de Acesso à Informação (Lei nº 12.527, de 18 de novembro de 2011).

Art. 2º Esta norma aplica-se a todos os atores abrangidos pela Política de Segurança da Informação e Comunicação - POSIC.

Art. 3º Quando tecnicamente inviável, incluindo-se situações de indisponibilidade de ferramentas licenciadas, poderão ser estabelecidas restrições à aplicação do disposto nesta norma quanto:

I - às plataformas tecnológicas abrangidas; ou

II - a um subconjunto dos usuários dos serviços de tecnologia da informação e comunicação abrangidos.

Parágrafo único. Caberá à Diretoria de Tecnologia da Informação e Comunicação elaborar nota técnica contendo justificativa para a necessidade de estabelecimento das restrições, bem como promover sua adequada divulgação junto ao público-alvo.

Art. 4º As disposições apresentadas nesta norma adotam como terminologia o Glossário de Segurança da Informação do Gabinete de Segurança Institucional da Presidência da República.

Art. 5º Para fins do disposto no caput do art. 1º, deverão ser utilizadas soluções tecnológicas de prevenção contra a perda de dados digitais nas seguintes plataformas:

I- Microsoft Office 365;

II- Microsoft Exchange;

III- Microsoft Onedrive;

IV- Microsoft Teams;

V- Microsoft Sharepoint;

VI- Sistemas Operacionais Windows; e

VII- Microsoft Cloud App Security (MCAS).

CAPÍTULO II

DOS RÓTULOS DE CATEGORIZAÇÃO

Art. 6º Os dados abrangidos por esta Portaria devem ser obrigatoriamente analisados de acordo com as definições seguintes e categorizados com um dos respectivos rótulos:

I - público: dados que não representam risco para o Ministério se forem disponibilizados de forma geral e podem ser visualizados, disseminados ou copiados sem restrição;

II - interno ao Ministério: dados cuja perda, adulteração ou disseminação fora do âmbito do Ministério e de suas entidades vinculadas resultariam em consideráveis impactos financeiros, de reputação ou legais ao órgão;

III - interno ao Ministério (dados pessoais): dados cuja perda, adulteração ou disseminação fora do âmbito do Ministério e de suas entidades vinculadas resultariam em consideráveis impactos financeiros, de reputação ou legais ao órgão, por ser tratar de dados pessoais;

IV - restrito ao órgão: dados cuja perda, adulteração ou divulgação não autorizada resultariam em consideráveis impactos financeiros, de reputação ou legais ao órgão, e o acesso aos dados é restrito ao domínio do órgão gerador;

V - restrito ao órgão (dados pessoais): dados cuja perda, adulteração ou divulgação não autorizada resultariam em consideráveis impactos financeiros, de reputação ou legais ao órgão, por ser tratar de dados pessoais, e o acesso aos dados é restrito ao domínio do órgão gerador;

VI - confidencial: dados cuja perda, adulteração ou divulgação não autorizada resultaria em consideráveis impactos financeiros, de reputação ou legais ao órgão, e o acesso aos dados é restrito a pessoas ou a grupos nominados; e

VII - confidencial (dados pessoais): dados cuja perda, adulteração ou divulgação não autorizada resultaria em consideráveis impactos financeiros, de reputação ou legais ao órgão, por ser tratar de dados pessoais, e o acesso aos dados é restrito a pessoas ou a grupos nominados.

CAPÍTULO III

DAS RESPONSABILIDADES

Art. 7º São responsabilidades dos usuários dos serviços de tecnologia da informação e comunicação do Ministério da Justiça e Segurança Pública:

I - observar os cuidados necessários à rotulação, proteção e manuseio adequados dos dados, evitando o comprometimento de sua integridade, confidencialidade e disponibilidade;

II - comunicar imediatamente qualquer violação desta norma à área responsável;

III - realizar a categorização inicial do conteúdo e atribuir o respectivo rótulo para todo arquivo, e-mail ou item de dados que criar ou inserir nas plataformas elencadas no art. 5º.

IV - reavaliar o conteúdo e, se necessário, alterar o rótulo de todo arquivo, e-mail ou item de dados que editar ou tratar no âmbito das plataformas elencadas no art. 5º; e

V - permitir acesso aos arquivos, e-mails e demais itens de dados categorizados conforme os rótulos elencados no art. 6º somente àqueles que se enquadrarem nas respectivas regras de acesso.

Art. 8º São responsabilidades da Diretoria de Tecnologia da Informação e Comunicação:

I - oferecer a infraestrutura e o suporte às tecnologias de rotulação e prevenção à perda de dados que possibilitem a implementação do disposto nesta norma; e

II - divulgar esta norma e contribuir para que seja proporcionado treinamento adequado no uso das ferramentas de suporte aos usuários dos serviços de tecnologia da informação e comunicação.

CAPÍTULO IV

DO TRATAMENTO DOS DADOS

Art. 9º Os dados devem ser tratados conforme a matriz de tratamento a ser definida por resolução no âmbito do Comitê de Governança Digital e Segurança da Informação e Comunicação.

Parágrafo único. Poderão ser implementados controles para restringir a cópia, impressão, compartilhamento e outras operações com arquivos não rotulados.

CAPÍTULO V

DAS DISPOSIÇÕES FINAIS E TRANSITÓRIAS

Art. 10. A Diretoria de Tecnologia da Informação e Comunicação poderá expedir procedimentos operacionais específicos para complementar esta Resolução.

Art. 11. Em até sessenta dias após a publicação desta Resolução, um plano de ação deve ser apresentado pela Diretoria de Tecnologia da Informação e Comunicação com as medidas necessárias e prazo estimado para a implementação dos controles de segurança previstos.

Art. 12. Dúvidas, casos omissos, ou situações excepcionais em relação à implantação do disposto nesta Resolução serão dirimidos pela Diretoria de Tecnologia da Informação e Comunicação.

Este texto não substitui o original publicado nos veículos oficiais (Diário Oficial da União - DOU e Boletim de Serviço - BS).