PORTARIA Nº 207, DE 9 DE JULHO DE 2008

O DIRETOR DO DEPARTAMENTO DE INFORMÁTICA DO SUS, no uso da atribuição que lhe confere a Portaria nº. 725, de 31 de julho de 2007, da Casa Civil da Presidência da República e com base na competência regimental estabelecida pelo Art. 7º, Inciso III, do Decreto nº 5.974, de 29 de novembro de 2006 e no disposto no inciso XI do artigo 7º da Lei 8.080, de 19 de setembro de 1990, e

Considerando a) O disposto no artigo 5º, X, da Constituição Federal e nos demais diplomas e normas legais que visam garantir a inviolabilidade da intimidade, vida privada, honra e imagem das pessoas;

Considerando b) O Decreto nº 4.553, de 27 de dezembro de 2002, que dispõe sobre a salvaguarda de dados, informações, documentos e materiais sigilosos de interesse da segurança da sociedade e do Estado, no âmbito da Administração Pública Federal, e dá outras providências.

Considerando c) O Decreto 3.505, que institui a Política de Segurança da Informação e Comunicações da Administração Pública Federal Considerando d) As diretrizes do Governo Federal, representado pelo Gabinete de Segurança Institucional da Presidência da República, que recomenda a implantação no âmbito de cada órgão da APF - Administração Pública Federal, de processos e metodologias de segurança da informação e comunicações.

Considerando e) A Instrução Normativa Nº 01 do Conselho de Defesa Nacional/Secretaria Executiva, publicada no DOU, Seção 1, de 18/06/2008, que disciplina a gestão de segurança da informação e comunicações no âmbito da Administração Pública Federal;

Considerando f) O Art. 7º do Decreto Nº 5974/2006, que estabelece a competência legal do DATASUS

Considerando g) Que a informação gerada internamente, adquirida ou custodiada pelo DATASUS necessita ser protegida;

Considerando h) Que o DATASUS mantém sob sua estrutura de Tecnologia da Informação um patrimônio de valor incalculável em dados institucionais e sociais, o que motiva ainda mais a adoção e implementação de uma Política de Segurança da Informação e Comunicações;

Considerando i) Que o DATASUS mantém grande volume de informações, essenciais ao exercício de suas competências regimentais, e que essas informações devem manter-se íntegras, disponíveis e, quando for o caso, com o sigilo resguardado;

Considerando j) Que as informações são armazenadas em diferentes suportes e veiculadas por diversas formas, tais como meio impresso, eletrônico e micro-forma, sendo, portanto, vulneráveis a desastres naturais, acessos não autorizados, mau uso, falhas de equipamentos, extravio e furto;

Considerando k) Que o ambiente computacional do Ministério da Saúde e suas informações são freqüentemente alvo de ataques indesejáveis de diversas procedências, tornando-se imperioso realizar uma estratégia de Segurança da Informação que trate da avaliação periódica dos riscos de seus ativos e da gestão dos controles de segurança;

Considerando l) Que o desconhecimento das ameaças e vulnerabilidades do ambiente corporativo de TI e de outros ambientes relevantes possibilita que o Ministério da Saúde fique vulnerável a fraudes e vazamento de informações;

Considerando m) Que a divulgação ao mercado, de forma irrestrita, de detalhes técnicos do ambiente corporativo do Ministério da Saúde, tornará, conseqüentemente, ainda mais vulnerável e com maior risco o ambiente do Ministério da Saúde;

l) A decisão do TCU, contida no Acórdão 461/2004, Sessão de 28/04/2004 - Plenário:

'9.1. determinar, com fundamento no art. 43, inciso I, da Lei 8.443/92 c/c o art. 250, inciso II, do Regimento Interno do TCU, ao Centro Tecnológico de Informática do Ministério da Saúde - Datasus, que promova, no prazo máximo de um ano:

9.1.1. a concepção e implementação de uma política de segurança de informações formal e, preferencialmente, baseada nos ditames da norma NBR ISO/IEC 17799;

9.1.4. a análise regular de arquivos logs com utilização, sempre que possível, de softwares utilitários específicos, para monitoramento do uso dos sistemas;

9.1.5. a elaboração e implementação de um Plano de Contingências de acordo com o item 11.1.4 da NBR ISO/IEC 17799;

9.1.6. a classificação do nível de segurança e controle de acesso aos dados, no âmbito do Projeto "Repositório";

9.1.7. o estabelecimento de mecanismos formais de monitoração, supervisão e controle das atividades terceirizadas; e a preservação do conhecimento do núcleo gerencial do negócio, dando prioridade à alocação de funcionários efetivos na supervisão e gerência de projetos;

9.1.8. estudos com vistas à criação de uma gerência específica de segurança, preferencialmente vinculada à direção geral;'

m) Ainda, no Acórdão 461/2004, as recomendações contidas no item 4 do voto do Ministro-Relator, Dr. Marcos Vinicios Vilaça:

"É necessário, portanto, que o DATASUS continue aprimorando a segurança das informações sob a sua custódia, pois, apesar de ter sido constatada a existência de iniciativas isoladas tanto no aspecto da segurança física quanto de acesso lógico, não existem, atualmente, procedimentos formais que implementem uma política de segurança adequada no órgão", resolve:

Art. 1º - Instituir, no âmbito do DATASUS, a Política de Segurança da Informação e Comunicações do DATASUS - PSIC/DATASUS, regida pelos princípios, objetivos e diretrizes estabelecidos nesta Resolução.

Parágrafo Único: Para efeitos da Política de Segurança da Informação e Comunicações - PSIC/DATASUS ficam estabelecidas as seguintes conceituações:

I - Regulamentação: conjunto de diretrizes, normas e procedimentos que permitam ao DATASUS executar as mais variadas tarefas de proteção da informação, no que diz respeito à confidencialidade, disponibilidade, integridade e autenticidade da informação.

II - Certificado de Conformidade: garantia formal de que um produto ou serviço, devidamente identificado, está em conformidade com uma norma legal;

III - Segurança da Informação: proteção dos sistemas de informação contra a negação de serviço a usuários autorizados, assim como contra a intrusão, e a modificação desautorizada de dados ou informações, armazenados, em processamento ou em trânsito, abrangendo, inclusive, a segurança dos recursos humanos, da documentação e do material, das áreas e instalações das comunicações e computacional, assim como as destinadas a prevenir, detectar, deter e documentar eventuais ameaças a seu desenvolvimento.

Art. 2º - A PSIC/DATASUS tem por objetivos:

a) Dotar o DATASUS e os órgãos de administração direta que compõem a estrutura do Ministério da Saúde de instrumentos normativos e organizacionais que os capacitem científica, tecnológica e administrativamente a assegurar a confidencialidade, a integridade, a autenticidade, o não-repúdio e a disponibilidade dos dados e das informações tratadas, classificadas e sensíveis, além de garantir que os mesmos sejam usados no interesse da Administração;

b) Eliminar a dependência externa em relação a sistemas, equipamentos, dispositivos e atividades vinculadas à segurança dos sistemas de informação;

c) Promover a capacitação de recursos humanos para o desenvolvimento de competência científico-tecnológica em segurança da informação;

d) Estabelecer normas jurídicas necessárias à efetiva implementação da segurança da informação;

e) Promover as ações necessárias à implementação e manutenção da segurança da informação;

f) Promover o intercâmbio científico-tecnológico entre os órgãos e as entidades da Administração Pública Federal e as instituições públicas e privadas, sobre as atividades de segurança da informação;

g) Promover a capacitação industrial do País com vistas à sua autonomia no desenvolvimento e na fabricação de produtos que incorporem recursos criptográficos, assim como estimular o setor produtivo a participar competitivamente do mercado de bens e de serviços relacionados com a segurança da informação; e

h) Assegurar a interoperabilidade entre os sistemas de segurança da informação.

§1º Integra e orienta a PSIC/DATASUS o conjunto de instrumentos legais e normativos afins relacionados à segurança da informação e comunicações, emanados do Governo Federal.

§1º A PSIC/DATASUS sofrerá alterações à medida que novas orientações legais e normativas relacionadas à segurança da informação e comunicações forem emanadas do Governo Federal.

Art. 4º - Será facultado aos órgãos da administração direta que compõem a estrutura do Ministério da Saúde adotar a presente Política de Segurança da Informação e Comunicações, desde que haja pronunciamento formal, neste sentido, à Secretaria Executiva, cabendo ao DATASUS prestar todas as orientações e informações necessárias.

Art. 5º - Esta Portaria entra em vigor na data de sua publicação.

ERNANI BENTO BANDARRA