Legislação

- Compete ao Gabinete de Segurança Institucional da Presidência da República, nos temas relacionados à segurança da informação:

Redação anterior (original): [Art. 12 - Compete ao Gabinete de Segurança Institucional da Presidência da República, nos temas relacionados à segurança da informação, assessorado pelo Comitê Gestor da Segurança da Informação:]

I - estabelecer norma sobre a definição dos requisitos metodológicos para a implementação da gestão de risco dos ativos da informação pelos órgãos e pelas entidades da administração pública federal;

II - aprovar diretrizes, estratégias, normas e recomendações;

III - elaborar e implementar programas sobre segurança da informação destinados à conscientização e à capacitação dos servidores públicos federais e da sociedade;

IV - acompanhar a evolução doutrinária e tecnológica, em âmbito nacional e internacional;

V - elaborar e publicar a Estratégia Nacional de Segurança da Informação, em articulação com o Comitê Interministerial para a Transformação Digital, criado pelo Decreto 9.319, de 21/03/2018;

VI - apoiar a elaboração dos planos nacionais vinculados à Estratégia Nacional de Segurança da Informação;

VII - estabelecer critérios que permitam o monitoramento e a avaliação da execução da PNSI e de seus instrumentos;

VIII - propor a edição dos atos normativos necessários à execução da PNSI;

Redação anterior (original): [VIII - propor a edição dos atos normativos necessários à execução da PNSI; e]

IX - estabelecer os requisitos mínimos de segurança para o uso dos produtos que incorporem recursos de segurança da informação, de modo a assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação e garantir a interoperabilidade entre os sistemas de segurança da informação, ressalvadas as competências específicas de outros órgãos; e

Redação anterior (original): [IX - estabelecer os requisitos mínimos de segurança para o uso dos produtos que incorporem recursos de segurança da informação, de modo a assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação e garantir a interoperabilidade entre os sistemas de segurança da informação, ressalvadas as competências específicas de outros órgãos.]

X - articular-se com centros nacionais de prevenção, tratamento e resposta a incidentes cibernéticos pertencentes a outros países.

Parágrafo único - Nas hipóteses de que trata o inciso IX do caput, quando se tratar de competência de outro órgão, caberá ao Gabinete de Segurança Institucional da Presidência da República propor as atualizações referentes à segurança da informação.

- Ao Ministério da Defesa compete:

I - apoiar o Gabinete de Segurança Institucional da Presidência da República nas atividades relacionadas à segurança cibernética; e

II - elaborar as diretrizes, os dispositivos e os procedimentos de defesa que atuem nos sistemas relacionados à defesa nacional contra ataques cibernéticos.

- Compete à Controladoria-Geral da União auditar a execução das ações da PNSI de responsabilidade dos órgãos e das entidades da administração pública federal.

Redação anterior (original): [Art. 14 - Ao Ministério da Transparência e Controladoria-Geral da União compete auditar a execução das ações da Política Nacional de Segurança da Informação de responsabilidade dos órgãos e das entidades da administração pública federal.]

- Aos órgãos e às entidades da administração pública federal, em seu âmbito de atuação, compete:

I - implementar a PNSI;

II - elaborar sua política de segurança da informação e as normas internas de segurança da informação, observadas as normas de segurança da informação editadas pelo Gabinete de Segurança Institucional da Presidência da República;

III - designar um gestor de segurança da informação interno, indicado pela alta administração do órgão ou da entidade;

IV - instituir comitê de segurança da informação ou estrutura equivalente, para deliberar sobre os assuntos relativos à PNSI;

V - destinar recursos orçamentários para ações de segurança da informação;

VI - promover ações de capacitação e profissionalização dos recursos humanos em temas relacionados à segurança da informação;

VII - instituir e implementar equipe de prevenção, tratamento e resposta a incidentes cibernéticos, que comporá a rede de equipes dos órgãos e das entidades da administração pública federal, coordenada pelo Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo do Departamento de Segurança da Informação do Gabinete de Segurança Institucional da Presidência da República;

Redação anterior (original): [VII - instituir e implementar equipe de tratamento e resposta a incidentes em redes computacionais, que comporá a rede de equipes formada pelos órgãos e entidades da administração pública federal, coordenada pelo Centro de Tratamento de Incidentes de Redes do Governo do Gabinete de Segurança Institucional da Presidência da República;]

VIII - coordenar e executar as ações de segurança da informação no âmbito de sua atuação;

IX - consolidar e analisar os resultados dos trabalhos de auditoria sobre a gestão de segurança da informação; e

X - aplicar as ações corretivas e disciplinares cabíveis nos casos de violação da segurança da informação.

§ 1º - O comitê de segurança da informação interno de que trata o inciso IV do caput será composto por:

I - o gestor da segurança da informação do órgão ou da entidade, de que trata o inciso III do caput, que o coordenará;

II - um representante da Secretaria-Executiva ou da unidade equivalente do órgão ou da entidade;

III - um representante de cada unidade finalística do órgão ou da entidade; e

IV - o titular da unidade de tecnologia da informação e comunicação do órgão ou da entidade.

§ 2º - (Revogado pelo Decreto 10.641, de 02/03/2021, art. 2º).

Redação anterior (do Decreto 9.832, de 12/06/2019, art. 1º): [§ 2º - Os membros do comitê de segurança da informação interno de que tratam os incisos I a III do § 1º deverão ocupar cargo em comissão ou função de confiança de nível 5 ou superior do Grupo-Direção e Assessoramento Superiores ou equivalente.]

Redação anterior (original): [§ 2º - Os membros do comitê de segurança da informação interno de que tratam os incisos II e III do § 1º deverão ocupar cargo em comissão do Grupo-Direção e Assessoramento Superiores, de nível 5 ou superior, ou equivalente.]

§ 3º - O comitê de segurança da informação interno dos órgãos e das entidades da administração pública federal tem as seguintes atribuições:

I - assessorar na implementação das ações de segurança da informação;

II - constituir grupos de trabalho para tratar de temas e propor soluções específicas sobre segurança da informação;

III - propor alterações na política de segurança da informação interna; e

IV - propor normas internas relativas à segurança da informação.

§ 4º - O gestor de segurança da informação será designado dentre os servidores públicos ocupantes de cargo efetivo, empregados públicos e militares do órgão ou da entidade, com formação ou capacitação técnica compatível com as normas estabelecidas por este Decreto.

- Os órgãos e as entidades da administração pública federal editarão atos para definir a forma de funcionamento dos respectivos comitês de segurança da informação, observado o disposto neste Decreto e na legislação.

- Compete à alta administração dos órgãos e das entidades da administração pública federal a governança da segurança da informação, e especialmente:

I - promover a simplificação administrativa, a modernização da gestão pública e a integração dos serviços públicos, especialmente aqueles prestados por meio eletrônico, com vistas à segurança da informação;

II - monitorar o desempenho e avaliar a concepção, a implementação e os resultados da sua política de segurança da informação e das normas internas de segurança da informação;

III - incorporar padrões elevados de conduta para a garantia da segurança da informação e orientar o comportamento dos agentes públicos, em consonância com as funções e as atribuições de seus órgãos e de suas entidades;

IV - planejar a execução de programas, de projetos e de processos relativos à segurança da informação;

V - estabelecer diretrizes para o processo de gestão de riscos de segurança da informação;

VI - observar as normas que estabelecem requisitos e procedimentos para a segurança da informação publicadas pelo Gabinete de Segurança Institucional da Presidência da República;

VII - implementar controles internos fundamentados na gestão de riscos da segurança da informação;

VIII - instituir um sistema de gestão de segurança da informação;

IX - implantar mecanismo de comunicação imediata sobre a existência de vulnerabilidades ou incidentes de segurança que impactem ou possam impactar os serviços prestados ou contratados pelos órgãos da administração pública federal; e

X - observar as normas e os procedimentos específicos aplicáveis, implementar e manter mecanismos, instâncias e práticas de governança da segurança da informação em consonância com os princípios e as diretrizes estabelecidos neste Decreto e na legislação.

§ 1º - O planejamento e a execução de programas, de projetos e de processos relativos à segurança da informação de que trata o inciso IV do caput serão orientados para:

I - a utilização de recursos criptográficos adequados aos graus de sigilo exigidos no tratamento das informações e as restrições de acesso estabelecidas para o compartilhamento das informações, observada a legislação;

II - o aumento da resiliência dos ativos de tecnologia da informação e comunicação e dos serviços definidos como estratégicos pelo Governo federal;

III - a contínua cooperação entre as equipes de prevenção, tratamento e resposta a incidentes cibernéticos na administração pública federal direta, autárquica e fundacional e o Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo do Departamento de Segurança da Informação do Gabinete de Segurança Institucional da Presidência da República; e

Redação anterior (original): [III - a contínua cooperação entre as equipes de resposta e de tratamento de incidentes de segurança na administração pública federal direta, autárquica e fundacional e o Centro de Tratamento de Incidentes de Redes do Governo do Gabinete de Segurança Institucional da Presidência da República; e]

IV - a priorização da interoperabilidade de tecnologias, processos, informações e dados, com a promoção:

a) da integração e do compartilhamento dos ativos de informação do Governo federal ou daqueles sob sua custódia;

b) da uniformização e da redução da fragmentação das bases de informação de interesse do Governo federal e da sociedade;

c) da integração e do compartilhamento das redes de telecomunicações da administração pública federal direta, autárquica e fundacional; e

d) da padronização da comunicação entre sistemas.

§ 2º - O sistema de gestão de segurança da informação de que trata o inciso VIII do caput identificará as necessidades da organização quanto aos requisitos de segurança da informação e implementará o processo de gestão de riscos de segurança da informação.

- Os órgãos e as entidades da administração pública federal direta, autárquica e fundacional, nos atos administrativos que envolvam ativos de tecnologia da informação, sem prejuízo dos demais dispositivos legais, incorporarão as normas de segurança da informação estabelecidas pelo Gabinete de Segurança Institucional da Presidência da República.

Redação anterior (original): [Art. 18 - Os órgãos e as entidades da administração pública federal direta, autárquica e fundacional, nos atos administrativos que envolvam ativos de tecnologia da informação, sem prejuízo dos demais dispositivos legais, incorporarão as normas de segurança da informação estabelecidas pelo Gabinete de Segurança Institucional da Presidência da República e os normativos de gestão de tecnologia da informação e comunicação e de segurança da informação do Ministério do Planejamento, Desenvolvimento e Gestão.]