Carregando...
Jusbrasil - Legislação
22 de março de 2019

Decreto 9637/18 | Decreto nº 9.637, de 26 de dezembro de 2018

Publicado por Presidência da Republica - 2 meses atrás

LEIAM 0 NÃO LEIAM

Institui a Política Nacional de Segurança da Informação, dispõe sobre a governança da segurança da informação, e altera o Decreto nº 2.295, de 4 de agosto de 1997, que regulamenta o disposto no art. 24, caput, inciso IX, da Lei nº 8.666, de 21 de junho de 1993, e dispõe sobre a dispensa de licitação nos casos que possam comprometer a segurança nacional. Ver tópico (5 documentos)

O PRESIDENTE DA REPÚBLICA, no uso da atribuição que lhe confere o art. 84, caput, inciso VI, alínea a, da Constituição, DECRETA:

CAPÍTULO I

DISPOSIÇÕES GERAIS

Art. 1º Fica instituída a Política Nacional de Segurança da Informação - PNSI, no âmbito da administração pública federal, com a finalidade de assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação a nível nacional. Ver tópico

Art. 2º Para os fins do disposto neste Decreto, a segurança da informação abrange: Ver tópico

I - a segurança cibernética; Ver tópico

II - a defesa cibernética; Ver tópico

III - a segurança física e a proteção de dados organizacionais; e Ver tópico

IV - as ações destinadas a assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação. Ver tópico

CAPÍTULO II

DOS PRINCÍPIOS

Art. 3º São princípios da PNSI: Ver tópico

I - soberania nacional; Ver tópico

II - respeito e promoção dos direitos humanos e das garantias fundamentais, em especial a liberdade de expressão, a proteção de dados pessoais, a proteção da privacidade e o acesso à informação; Ver tópico

III - visão abrangente e sistêmica da segurança da informação; Ver tópico

IV - responsabilidade do País na coordenação de esforços e no estabelecimento de políticas, estratégias e diretrizes relacionadas à segurança da informação; Ver tópico

V - intercâmbio científico e tecnológico relacionado à segurança da informação entre os órgãos e as entidades da administração pública federal; Ver tópico

VI - preservação do acervo histórico nacional; Ver tópico

VII - educação como alicerce fundamental para o fomento da cultura em segurança da informação; Ver tópico

VIII - orientação à gestão de riscos e à gestão da segurança da informação; Ver tópico

IX - prevenção e tratamento de incidentes de segurança da informação; Ver tópico

X - articulação entre as ações de segurança cibernética, de defesa cibernética e de proteção de dados e ativos da informação; Ver tópico

XI - dever dos órgãos, das entidades e dos agentes públicos de garantir o sigilo das informações imprescindíveis à segurança da sociedade e do Estado e a inviolabilidade da intimidade da vida privada, da honra e da imagem das pessoas; Ver tópico

XII - need to know para o acesso à informação sigilosa, nos termos da legislação; Ver tópico

XIII - consentimento do proprietário da informação sigilosa recebida de outros países, nos casos dos acordos internacionais; Ver tópico

XIV - cooperação entre os órgãos de investigação e os órgãos e as entidades públicos no processo de credenciamento de pessoas para acesso às informações sigilosas; Ver tópico

XV - integração e cooperação entre o Poder Público, o setor empresarial, a sociedade e as instituições acadêmicas; e Ver tópico

XVI - cooperação internacional, no campo da segurança da informação. Ver tópico

CAPÍTULO III

DOS OBJETIVOS

Art. 4º São objetivos da PNSI: Ver tópico

I - contribuir para a segurança do indivíduo, da sociedade e do Estado, por meio da orientação das ações de segurança da informação, observados os direitos e as garantias fundamentais; Ver tópico

II - fomentar as atividades de pesquisa científica, de desenvolvimento tecnológico e de inovação relacionadas à segurança da informação; Ver tópico

III - aprimorar continuamente o arcabouço legal e normativo relacionado à segurança da informação; Ver tópico

IV - fomentar a formação e a qualificação dos recursos humanos necessários à área de segurança da informação; Ver tópico

V - fortalecer a cultura da segurança da informação na sociedade; Ver tópico

VI - orientar ações relacionadas a: Ver tópico

a) segurança dos dados custodiados por entidades públicas; Ver tópico

b) segurança da informação das infraestruturas críticas; Ver tópico

c) proteção das informações das pessoas físicas que possam ter sua segurança ou a segurança das suas atividades afetada, observada a legislação específica; e Ver tópico

d) tratamento das informações com restrição de acesso; e Ver tópico

VII - contribuir para a preservação da memória cultural brasileira. Ver tópico

CAPÍTULO IV

DOS INSTRUMENTOS

Art. 5º São instrumentos da PNSI: Ver tópico

I - a Estratégia Nacional de Segurança da Informação; e Ver tópico

II - os planos nacionais. Ver tópico

Art. 6º A Estratégia Nacional de Segurança da Informação conterá as ações estratégicas e os objetivos relacionados à segurança da informação, em consonância com as políticas públicas e os programas do Governo federal, e será dividida nos seguintes módulos, entre outros, a serem definidos no momento de sua publicação: Ver tópico

I - segurança cibernética; Ver tópico

II - defesa cibernética; Ver tópico

III - segurança das infraestruturas críticas; Ver tópico

IV - segurança da informação sigilosa; e Ver tópico

V - proteção contra vazamento de dados. Ver tópico

Parágrafo único. A construção da Estratégia Nacional de Segurança da Informação terá a ampla participação da sociedade e dos órgãos e das entidades do Poder Público. Ver tópico

Art. 7º Os planos nacionais de que trata o inciso II do caput do art. 5º conterão: Ver tópico

I - o detalhamento da execução das ações estratégicas e dos objetivos da Estratégia Nacional de Segurança da Informação; Ver tópico

II - o planejamento, a organização, a coordenação das atividades e do uso de recursos para a execução das ações estratégicas e o alcance dos objetivos da Estratégia Nacional de Segurança da Informação; e Ver tópico

III - a atribuição de responsabilidades, a definição de cronogramas e a apresentação da análise de riscos e das ações de contingência que garantam o atingimento dos resultados esperados. Ver tópico

Parágrafo único. Os planos nacionais serão divididos em temas e designados a um órgão responsável, conforme estabelecido na Estratégia Nacional de Segurança da Informação. Ver tópico

CAPÍTULO V

DO COMITÊ GESTOR DA SEGURANÇA DA INFORMAÇÃO

Art. 8º Fica instituído o Comitê Gestor da Segurança da Informação, com atribuição de assessorar o Gabinete de Segurança Institucional da Presidência da República nas atividades relacionadas à segurança da informação. Ver tópico

Art. 9º O Comitê será composto por um representante titular e respectivo suplente indicados pelos seguintes órgãos: Ver tópico

I - Gabinete de Segurança Institucional da Presidência da República, que o coordenará; Ver tópico

II - Casa Civil da Presidência da República; Ver tópico

III - Ministério da Justiça; Ver tópico

IV - Ministério da Segurança Pública; Ver tópico

V - Ministério da Defesa; Ver tópico

VI - Ministério das Relações Exteriores; Ver tópico

VII - Ministério da Fazenda; Ver tópico

VIII - Ministério dos Transportes, Portos e Aviação Civil; Ver tópico

IX - Ministério da Agricultura, Pecuária e Abastecimento; Ver tópico

X - Ministério da Educação; Ver tópico

XI - Ministério da Cultura; Ver tópico

XII - Ministério do Trabalho; Ver tópico

XIII - Ministério do Desenvolvimento Social; Ver tópico

XIV - Ministério da Saúde; Ver tópico

XV - Ministério da Indústria, Comércio Exterior e Serviços; Ver tópico

XVI - Ministério de Minas e Energia; Ver tópico

XVII - Ministério do Planejamento, Desenvolvimento e Gestão; Ver tópico

XVIII - Ministério da Ciência, Tecnologia, Inovações e Comunicações; Ver tópico

XIX - Ministério do Meio Ambiente; Ver tópico

XX - Ministério do Esporte; Ver tópico

XXI - Ministério do Turismo; Ver tópico

XXII - Ministério da Integração Nacional; Ver tópico

XXIII - Ministério das Cidades; Ver tópico

XXIV - Ministério da Transparência e Controladoria-Geral da União; Ver tópico

XXV - Ministério dos Direitos Humanos; Ver tópico

XXVI - Secretaria-Geral da Presidência da República; Ver tópico

XXVII - Secretaria de Governo da Presidência da República; Ver tópico

XXVIII - Advocacia-Geral da União; e Ver tópico

XXIX - Banco Central do Brasil. Ver tópico

§ 1º Os membros do Comitê serão indicados pelos titulares dos órgãos mencionados no caput, no prazo de dez dias, contado da data de publicação deste Decreto, e serão designados em ato do Ministro de Estado Chefe do Gabinete de Segurança Institucional da Presidência da República, no prazo de vinte dias, contado da data de publicação deste Decreto. Ver tópico

§ 2º A indicação do membro titular dos órgãos mencionados no caput recairá no gestor de segurança da informação de que trata o inciso III do caput do art. 15, e o respectivo suplente deverá ocupar cargo em comissão do Grupo-Direção e Assessoramento Superiores, de nível 4 ou superior, ou equivalente. Ver tópico

§ 3º Os membros titulares do Comitê serão substituídos pelos respectivos suplentes, em suas ausências ou impedimentos. Ver tópico

§ 4º A participação no Comitê será considerada prestação de serviço público relevante, não remunerada. Ver tópico

§ 5º No prazo de noventa dias, contado da data de publicação deste Decreto, será aprovado regimento interno para dispor sobre a organização e o funcionamento do Comitê. Ver tópico

Art. 10. O Comitê se reunirá, em caráter ordinário, semestralmente e, em caráter extraordinário, por convocação de seu Coordenador. Ver tópico

§ 1º As reuniões do Comitê ocorrerão, em primeira convocação, com a presença da maioria simples de seus membros ou, quinze minutos após a hora estabelecida, em segunda convocação, com a presença de, no mínimo, um terço de seus membros. Ver tópico

§ 2º O Comitê poderá instituir grupos de trabalho ou câmaras técnicas para tratar de temas específicos relacionados à segurança da informação e poderá convidar representantes do setor público ou privado e especialistas com notório saber. Ver tópico

§ 3º A composição, o funcionamento e as competências dos grupos de trabalho ou câmaras técnicas serão estabelecidos pelo Comitê. Ver tópico

§ 4º As deliberações do Comitê serão aprovadas pela maioria simples dos membros presentes e o Coordenador, além do voto regular, terá o voto de desempate. Ver tópico

Art. 11. O Gabinete de Segurança Institucional da Presidência da República prestará o apoio técnico e administrativo necessário ao Comitê. Ver tópico

CAPÍTULO VI

DAS COMPETÊNCIAS

Seção I

Do Gabinete de Segurança Institucional da Presidência da República

Art. 12. Compete ao Gabinete de Segurança Institucional da Presidência da República, nos temas relacionados à segurança da informação, assessorado pelo Comitê Gestor da Segurança da Informação: Ver tópico

I - estabelecer norma sobre a definição dos requisitos metodológicos para a implementação da gestão de risco dos ativos da informação pelos órgãos e pelas entidades da administração pública federal; Ver tópico

II - aprovar diretrizes, estratégias, normas e recomendações; Ver tópico

III - elaborar e implementar programas sobre segurança da informação destinados à conscientização e à capacitação dos servidores públicos federais e da sociedade; Ver tópico

IV - acompanhar a evolução doutrinária e tecnológica, em âmbito nacional e internacional; Ver tópico

V - elaborar e publicar a Estratégia Nacional de Segurança da Informação, em articulação com o Comitê Interministerial para a Transformação Digital, criado pelo Decreto nº 9.319, de 21 de março de 2018; Ver tópico

VI - apoiar a elaboração dos planos nacionais vinculados à Estratégia Nacional de Segurança da Informação; Ver tópico

VII - estabelecer critérios que permitam o monitoramento e a avaliação da execução da PNSI e de seus instrumentos; Ver tópico

VIII - propor a edição dos atos normativos necessários à execução da PNSI; e Ver tópico

IX - estabelecer os requisitos mínimos de segurança para o uso dos produtos que incorporem recursos de segurança da informação, de modo a assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação e garantir a interoperabilidade entre os sistemas de segurança da informação, ressalvadas as competências específicas de outros órgãos. Ver tópico

Parágrafo único. Nas hipóteses de que trata o inciso IX do caput, quando se tratar de competência de outro órgão, caberá ao Gabinete de Segurança Institucional da Presidência da República propor as atualizações referentes à segurança da informação. Ver tópico

Seção II

Do Ministério da Defesa

Art. 13. Ao Ministério da Defesa compete: Ver tópico

I - apoiar o Gabinete de Segurança Institucional da Presidência da República nas atividades relacionadas à segurança cibernética; e Ver tópico

II - elaborar as diretrizes, os dispositivos e os procedimentos de defesa que atuem nos sistemas relacionados à defesa nacional contra ataques cibernéticos. Ver tópico

Seção III

Do Ministério da Transparência e Controladoria-Geral da União

Art. 14. Ao Ministério da Transparência e Controladoria-Geral da União compete auditar a execução das ações da Política Nacional de Segurança da Informação de responsabilidade dos órgãos e das entidades da administração pública federal. Ver tópico

Seção IV

Dos órgãos e das entidades da administração pública federal

Art. 15. Aos órgãos e às entidades da administração pública federal, em seu âmbito de atuação, compete: Ver tópico (1 documento)

I - implementar a PNSI; Ver tópico

II - elaborar sua política de segurança da informação e as normas internas de segurança da informação, observadas as normas de segurança da informação editadas pelo Gabinete de Segurança Institucional da Presidência da República; Ver tópico

III - designar um gestor de segurança da informação interno, indicado pela alta administração do órgão ou da entidade; Ver tópico

IV - instituir comitê de segurança da informação ou estrutura equivalente, para deliberar sobre os assuntos relativos à PNSI; Ver tópico

V - destinar recursos orçamentários para ações de segurança da informação; Ver tópico

VI - promover ações de capacitação e profissionalização dos recursos humanos em temas relacionados à segurança da informação; Ver tópico

VII - instituir e implementar equipe de tratamento e resposta a incidentes em redes computacionais, que comporá a rede de equipes formada pelos órgãos e entidades da administração pública federal, coordenada pelo Centro de Tratamento de Incidentes de Redes do Governo do Gabinete de Segurança Institucional da Presidência da República; Ver tópico

VIII - coordenar e executar as ações de segurança da informação no âmbito de sua atuação; Ver tópico

IX - consolidar e analisar os resultados dos trabalhos de auditoria sobre a gestão de segurança da informação; e Ver tópico

X - aplicar as ações corretivas e disciplinares cabíveis nos casos de violação da segurança da informação. Ver tópico

§ 1º O comitê de segurança da informação interno de que trata o inciso IV do caput será composto por: Ver tópico

I - o gestor da segurança da informação do órgão ou da entidade, de que trata o inciso III do caput, que o coordenará; Ver tópico

II - um representante da Secretaria-Executiva ou da unidade equivalente do órgão ou da entidade; Ver tópico

III - um representante de cada unidade finalística do órgão ou da entidade; e Ver tópico

IV - o titular da unidade de tecnologia da informação e comunicação do órgão ou da entidade. Ver tópico

§ 2º Os membros do comitê de segurança da informação interno de que tratam os incisos II e III do § 1º deverão ocupar cargo em comissão do Grupo-Direção e Assessoramento Superiores, de nível 5 ou superior, ou equivalente. Ver tópico

§ 3º O comitê de segurança da informação interno dos órgãos e das entidades da administração pública federal tem as seguintes atribuições: Ver tópico

I - assessorar na implementação das ações de segurança da informação; Ver tópico

II - constituir grupos de trabalho para tratar de temas e propor soluções específicas sobre segurança da informação; Ver tópico

III - propor alterações na política de segurança da informação interna; e Ver tópico

IV - propor normas internas relativas à segurança da informação. Ver tópico

Art. 16. Os órgãos e as entidades da administração pública federal editarão atos para definir a forma de funcionamento dos respectivos comitês de segurança da informação, observado o disposto neste Decreto e na legislação. Ver tópico

Art. 17. Compete à alta administração dos órgãos e das entidades da administração pública federal a governança da segurança da informação, e especialmente: Ver tópico

I - promover a simplificação administrativa, a modernização da gestão pública e a integração dos serviços públicos, especialmente aqueles prestados por meio eletrônico, com vistas à segurança da informação; Ver tópico

II - monitorar o desempenho e avaliar a concepção, a implementação e os resultados da sua política de segurança da informação e das normas internas de segurança da informação; Ver tópico

III - incorporar padrões elevados de conduta para a garantia da segurança da informação e orientar o comportamento dos agentes públicos, em consonância com as funções e as atribuições de seus órgãos e de suas entidades; Ver tópico

IV - planejar a execução de programas, de projetos e de processos relativos à segurança da informação; Ver tópico

V - estabelecer diretrizes para o processo de gestão de riscos de segurança da informação; Ver tópico

VI - observar as normas que estabelecem requisitos e procedimentos para a segurança da informação publicadas pelo Gabinete de Segurança Institucional da Presidência da República; Ver tópico

VII - implementar controles internos fundamentados na gestão de riscos da segurança da informação; Ver tópico

VIII - instituir um sistema de gestão de segurança da informação; Ver tópico

IX - implantar mecanismo de comunicação imediata sobre a existência de vulnerabilidades ou incidentes de segurança que impactem ou possam impactar os serviços prestados ou contratados pelos órgãos da administração pública federal; e Ver tópico

X - observar as normas e os procedimentos específicos aplicáveis, implementar e manter mecanismos, instâncias e práticas de governança da segurança da informação em consonância com os princípios e as diretrizes estabelecidos neste Decreto e na legislação. Ver tópico

§ 1º O planejamento e a execução de programas, de projetos e de processos relativos à segurança da informação de que trata o inciso IV do caput serão orientados para: Ver tópico

I - a utilização de recursos criptográficos adequados aos graus de sigilo exigidos no tratamento das informações e as restrições de acesso estabelecidas para o compartilhamento das informações, observada a legislação; Ver tópico

II - o aumento da resiliência dos ativos de tecnologia da informação e comunicação e dos serviços definidos como estratégicos pelo Governo federal; Ver tópico

III - a contínua cooperação entre as equipes de resposta e de tratamento de incidentes de segurança na administração pública federal direta, autárquica e fundacional e o Centro de Tratamento de Incidentes de Redes do Governo do Gabinete de Segurança Institucional da Presidência da República; e Ver tópico

IV - a priorização da interoperabilidade de tecnologias, processos, informações e dados, com a promoção: Ver tópico

a) da integração e do compartilhamento dos ativos de informação do Governo federal ou daqueles sob sua custódia; Ver tópico

b) da uniformização e da redução da fragmentação das bases de informação de interesse do Governo federal e da sociedade; Ver tópico

c) da integração e do compartilhamento das redes de telecomunicações da administração pública federal direta, autárquica e fundacional; e Ver tópico

d) da padronização da comunicação entre sistemas. Ver tópico

§ 2º O sistema de gestão de segurança da informação de que trata o inciso VIII do caput identificará as necessidades da organização quanto aos requisitos de segurança da informação e implementará o processo de gestão de riscos de segurança da informação. Ver tópico

Art. 18. Os órgãos e as entidades da administração pública federal direta, autárquica e fundacional, nos atos administrativos que envolvam ativos de tecnologia da informação, sem prejuízo dos demais dispositivos legais, incorporarão as normas de segurança da informação estabelecidas pelo Gabinete de Segurança Institucional da Presidência da República e os normativos de gestão de tecnologia da informação e comunicação e de segurança da informação do Ministério do Planejamento, Desenvolvimento e Gestão. Ver tópico

CAPÍTULO VII

DISPOSIÇÕES FINAIS

Art. 19. O Ministro de Estado Chefe do Gabinete de Segurança Institucional da Presidência da República editará, no prazo de noventa dias, contado da data de publicação deste Decreto, glossário com a definição dos termos técnicos e operacionais relativos à segurança da informação, que será utilizado como referência conceitual para as normas e os regulamentos relacionados à segurança da informação. Ver tópico

Art. 20. O Ministro de Estado Chefe do Gabinete de Segurança Institucional da Presidência da República poderá expedir atos complementares necessários à aplicação deste Decreto. Ver tópico

Art. 21. O Decreto nº 2.295, de 4 de agosto de 1997, passa a vigorar com as seguintes alterações: Ver tópico

“Art. 1º .........................................................................................................................

.............................................................................................................................................

III - aquisição de equipamentos e contratação de serviços técnicos especializados para as áreas de inteligência, de segurança da informação, de segurança cibernética, de segurança das comunicações e de defesa cibernética.

.....................................................................................................................................” (NR)

Art. 22. Ficam revogados: Ver tópico

I - o Decreto nº 3.505, de 13 de junho de 2000; e Ver tópico

II - o Decreto nº 8.135, de 4 de novembro de 2013. Ver tópico

Art. 23. Este Decreto entra em vigor na data de sua publicação. Ver tópico

Brasília, 26 de dezembro de 2018; 197º da Independência e 130º da República.

MICHEL TEMER

Sergio Westphalen Etchegoyen

Este texto não substitui o publicado no DOU de 27.12.2018

*

×

0 Comentários

Faça um comentário construtivo para esse documento.

Não use muitas letras maiúsculas, isso denota "GRITAR" ;)