SEI/MJ - 18987283 - Resolução nº

Timbre
Ministério da Justiça e Segurança Pública

resolução Nº 18, de 5 de agosto de 2022

O COMITÊ DE GOVERNANÇA ESTRATÉGICA DO MINISTÉRIO DA JUSTIÇA E SEGURANÇA PÚBLICA, no uso das atribuições que lhe são conferidas pelo art. 1º e pelo Parágrafo único do art. 2º, do Anexo I, da Portaria MJSP nº 2, de 28 de janeiro de 2022, e com base no Art. 53, do Anexo XIII, da mesma Portaria,

RESOLVE:

Art. 1º Aprovar, na forma do anexo a esta Resolução, a Norma de Segurança da Informação e Comunicação para o Teletrabalho, Trabalho Remoto e Acessos Externos no âmbito do Ministério da Justiça e Segurança Pública.

Art. 2º Esta Resolução entra em vigor na data de sua publicação.

ANTONIO RAMIREZ LORENZO

ANEXO

NORMA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO PARA O TELETRABALHO, TRABALHO REMOTO E ACESSOS EXTERNOS.

CAPÍTULO I

DAS DISPOSIÇÕES GERAIS

Art. 1º A norma de segurança da informação e comunicação para o teletrabalho, trabalho remoto e acessos externos do Ministério da Justiça e Segurança Pública, complementa a Política de Segurança da Informação e Comunicação, com a finalidade de definir os requisitos de segurança de teletrabalho, acesso remoto e utilização de dispositivos próprios, com regras para o controle de acesso externo às aplicações, aos serviços de rede e aos sistemas e recursos de tecnologia da informação do Ministério.

Art. 2º Esta norma é aplicável a todos os atores abrangidos pela Política de Segurança da Informação e Comunicação – POSIC do Ministério que façam utilização da sua rede computacional.

Art. 3º As disposições apresentadas nesta norma adotam como terminologia o Glossário de Segurança da Informação do Gabinete de Segurança Institucional - GSI, considerando-se ainda as seguintes definições:

I - teletrabalho: modalidade de trabalho em que o cumprimento da jornada regular pelo participante pode ser realizado fora das dependências físicas do órgão, em regime de execução parcial ou integral, de forma remota e com a utilização de recursos tecnológicos, para a execução de atividades que sejam passíveis de controle e que possuam metas, prazos e entregas previamente definidos e, ainda, que não configurem trabalho externo, dispensado do controle de frequência, nos termos da legislação vigente;

II - trabalho remoto: execução remota das atividades por meio de acesso externo, em caráter excepcional, sem pactuação prévia de atividades, metas, sendo a autorização conferida somente pela chefia imediata; e

III - acesso externo ou acesso remoto: acesso aos recursos de tecnologia da informação e comunicação do Ministério da Justiça e Segurança Pública realizado por meio de equipamentos privados ou de propriedade do órgão que não estejam fisicamente conectados à rede corporativa, podendo se dar no âmbito do teletrabalho, do trabalho remoto ou em qualquer outra circunstância em que o usuário dos serviços de tecnologia da informação e comunicação precise atuar fora das dependências físicas do órgão.

CAPÍTULO II

DAS CONDIÇÕES DE ACESSO

Art. 4º O acesso externo será condicionado ao preenchimento e assinatura de Termo de Ciência e Responsabilidade pelo usuário.

I - dever de manter a infraestrutura necessária para o exercício de suas atribuições, inclusive aquelas relacionadas à segurança da informação;

II - declaração de que está ciente quanto às atribuições e responsabilidades do participante descritas nesta norma e outras obrigações relacionadas à segurança da informação e comunicação no teletrabalho, no trabalho remoto e nos acessos externos;

III - declaração de que não disponibilizará senhas ou acessos a pessoas estranhas ao Ministério da Justiça e Segurança Pública;

IV - vedação à utilização, por terceiros, dos equipamentos de tecnologia da informação e comunicação (TIC) fornecidos pelo Ministério;

V - dever de observar as disposições constantes da Lei Geral de Proteção de Dados Pessoais (LGPD) e da Lei Geral de Acesso à Informação (LAI), no que couber;

VI - obrigação de preservar o sigilo dos dados acessados de forma remota, bem como de manter atualizados os sistemas instalados nos equipamentos de trabalho;

VII - aceitação das regras de conformidade estabelecidas pela área de tecnologia da informação que deverão ser aplicadas aos equipamentos utilizados para se conectar à infraestrutura de rede do Ministério da Justiça e Segurança Pública;

VIII - necessidade de conceder permissão à área de tecnologia da informação e comunicação para instalar ou habilitar agentes de software e outros recursos para monitoramento e análise remota de segurança da informação e comunicação no equipamento utilizado para se conectar à infraestrutura de rede, respeitado o direito à privacidade;

IX - concordância com a revogação dos acessos e a destruição dos dados de equipamento disponibilizado para o acesso remoto após sua devolução; e

X - obrigação de remover todos os dados, sistemas, softwares, acessos e pastas ou unidades criptografadas armazenados em equipamentos não pertencentes ao Ministério após a descontinuidade do regime de teletrabalho, trabalho remoto, programa de aprendizagem ou ato educativo supervisionado.

Parágrafo único. Caberá à área de tecnologia da informação e comunicação do Ministério a disponibilização de formulário eletrônico unificado contemplando o Termo de Ciência e Reponsabilidade de que trata o caput deste artigo, que deverá ser assinado por todos os usuários e em prazo a ser definido em regramento específico, a ser editado pelo Secretário-Executivo do Ministério da Justiça e Segurança Pública, sob pena de bloqueio dos acessos.

CAPÍTULO III

DO CONTROLE DE ACESSO

Art. 5º Para os acessos externos, o usuário deverá receber o conjunto mais restritivo possível de permissões.

Art. 6º A área de tecnologia da informação e comunicação avaliará a conformidade do equipamento utilizado para acesso remoto com os padrões de segurança da informação e comunicação necessários para uso corporativo e realizará varreduras e análises com o objetivo de identificar riscos de segurança da informação e comunicação que prejudiquem ou possam prejudicar a infraestrutura de tecnologia da informação e comunicação do Ministério da Justiça e Segurança Pública, realizando o bloqueio do acesso remoto caso identifique alguma não conformidade ou risco de segurança.

§ 1º As varreduras e análises de segurança realizadas deverão ser auditáveis e não poderão coletar informações de cunho pessoal.

§ 2º Em caso de impossibilidade de realização das varreduras e análises de segurança, o acesso remoto será bloqueado até a efetiva verificação, mediante comunicação prévia de quarenta e oito horas.

§ 3º O bloqueio do acesso remoto poderá se dar de forma imediata, por ato fundamentado do responsável pela área de tecnologia da informação e comunicação, prescindindo de comunicação prévia.

Art. 7º O uso e instalação de aplicativos nos equipamentos utilizados para acesso remoto serão previstos em regulamentação específica a ser elaborada e editada pelo responsável pela área de tecnologia da informação e comunicação.

Art. 8º Para os acessos remotos, é obrigatória a utilização de múltiplo fator de autenticação ou outro recurso que ofereça, no mínimo, o mesmo nível de segurança.

Parágrafo único. A Diretoria de Tecnologia da Informação e Comunicação disponibilizará os recursos necessários à segurança nos acessos remotos à infraestrutura de tecnologia da informação e comunicação do Ministério da Justiça e Segurança Pública.

CAPÍTULO IV

DO USO DE EQUIPAMENTOS PESSOAIS

Art. 9º. O licenciamento do sistema operacional e demais programas instalados no equipamento particular é de inteira responsabilidade do usuário, excetuando-se aqueles de uso corporativo que sejam licenciados por usuário, e cujo modelo de licenciamento possibilite o uso em equipamentos pessoais.

Parágrafo único. Poderão, ser fornecidas conforme disponibilidade técnica, as ferramentas corporativas de segurança da informação e comunicação, tal como antivírus ou equivalente para uso em equipamentos pessoais durante sua utilização para acessos remotos.

Art. 10. Nos casos em que a necessidade de acesso remoto decorrer de imposição da administração ou de motivo de saúde, deverá ser disponibilizado equipamento corporativo quando o usuário manifestar discordância em submeter seu equipamento pessoal aos procedimentos descritos nesta norma.

Art. 11. Para o acesso remoto, o usuário deverá providenciar dispositivo capaz de funcionar como autenticador de Múltiplo Fator de Autenticação (MFA) compatível com a tecnologia definida pela área de tecnologia da informação e comunicação, conforme regulamentação específica.

CAPÍTULO V

DAS BOAS PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO

Art. 12. O usuário detentor de processos e documentos obtidos por meio de acesso remoto deverá guardar sigilo a respeito das informações neles contidas, sob pena de responsabilidade, nos termos da legislação em vigor.

Art. 13. Os equipamentos utilizados para acesso remoto devem ser protegidos adequadamente e ter sua segurança mantida regularmente.

Art. 14. São deveres do usuário dos recursos de tecnologia da informação e comunicação do Ministério da Justiça e Segurança Pública, nos termos desta norma:

I - utilizar equipamentos com as últimas atualizações e correções de segurança instaladas;

II - utilizar somente sistema operacional e programas homologados;

III - manter programa antivírus atualizado;

IV -manter o firewall do sistema operacional ativo e corretamente configurado; e

V - providenciar a imediata alteração de sua senha em caso de perda, roubo, descarte ou manutenção do equipamento utilizado para acesso remoto.

CAPÍTULO VI

DO CONTROLE, MONITORAMENTO E AUDITORIA DE RECURSOS TECNOLÓGICOS

Art. 15. Os equipamentos de terceiros ou corporativos utilizados para o trabalho remoto devem atender aos requisitos de conformidade especificados pela área de tecnologia da informação e comunicação, e não poderão remover ou bloquear o funcionamento de mecanismos de segurança que tenham sido instalados.

CAPÍTULO VIII

DAS DISPOSIÇÕES FINAIS E TRANSITÓRIAS

Art. 16. A Diretoria de Tecnologia da Informação e Comunicação poderá expedir procedimentos operacionais, plano de ação e demais ações necessárias para atendimento desta norma.

Art. 17. Aos acessos remotos aplicam-se as demais normas de segurança da informação e comunicação referentes às atividades desenvolvidas nas dependências do órgão.

Art. 18. Dúvidas, casos omissos, ou situações excepcionais em relação a esta norma serão dirimidos pela Diretoria de Tecnologia da Informação e Comunicação.

Este texto não substitui o original publicado nos veículos oficiais (Diário Oficial da União - DOU e Boletim de Serviço - BS).