ADVOCACIA-GERAL DA UNIÃO
CONSULTORIA-GERAL DA UNIÃO
CONSULTORIA JURÍDICA JUNTO AO MINISTÉRIO DA CULTURA
GABINETE
NOTA n. 00002/2024/CONJUR-MINC/CGU/AGU
NUP: 01400.019143/2023-40
INTERESSADOS: DIVISÃO DE SEGURANÇA DA INFORMAÇÃO DISEG/ MINC
ASSUNTOS: ATOS ADMINISTRATIVOS
Trata-se de expediente encaminhado pela Subsecretaria de Tecnologia da Informação e Inovação da Secretaria-Executiva (Ofício nº 506/2023/STII/GSE/GM/MinC), por conduto do qual solicita a análise e manifestação sobre as Normas Internas de Segurança da Informação (NISI) propostas, objeto de apreço por aquela Subsecretaria por meio do Parecer de Mérito para Atos Normativos 3 (SEI nº 1450027).
2. Nos termos relatados no referido Parecer de Mérito, trata-se de quatro propostas de Normas, assim dispostas:
Norma Interna de Segurança da Informação de Controle de Acesso (SEI 1440301). Esta objetiva estabelecer controles de identificação, autenticação e autorização para salvaguardar as informações do Ministério da Cultura (MinC), estejam elas em qualquer meio, seja digital ou físico, a fim de evitar a quebra da segurança da informação e quaisquer acessos não autorizados que implique em risco de destruição, alteração, perda, roubo ou divulgação indevida.
Norma Interna de Segurança da Informação de Gestão de Ativos (SEI 1440305). O objetivo desta norma é garantir que os ativos de informação sejam identificados adequadamente e que os controles de proteção recomendados para estes ativos de informação estejam em vigor.
Norma Interna de Segurança da Informação de Backup e Recuperação de Dados (SEI 1440311). Propõe instituir diretrizes, responsabilidades e competências que visam à segurança, proteção e disponibilidade dos dados digitais custodiados pela Subsecretaria de Tecnologia da Informação e Inovação (STII) e formalmente definidos como de necessária salvaguarda no Ministério da Cultura (MinC), para se manter a continuidade do negócio.
Norma Interna de Segurança da Informação de Uso Aceitável de Internet e E-mail (SEI 1440332). Tem por objetivo estabelecer responsabilidades e requisitos básicos de utilização dos serviços de Acesso à Internet e uso de Correio Eletrônico (E-mail) no Ministério da Cultura.
3. Aduz a STII ainda o seguinte:
(...)
3. As minutas foram elaboradas com base nos princípios constitucionais, administrativos, legislativos, normativos e procedimentos complementares destinados à proteção da informação, a proteção de dados pessoais e à disciplina de sua utilização, sem prejuízo das demais normas em vigor, considera a natureza e a finalidade do MinC e tem suas ações de segurança da informação planejadas no Plano Diretor de Tecnologia da Informação e Comunicações (PDTIC) 2023-2027 do MinC, bem como considera a situação atual da segurança da informação do MinC.
4. As minutas supracitadas devem ser aprovadas pelo do Comitê de Governança Digital e Segurança da Informação (SEI nº 01400.001050/2023-69), que está alinhada à legislação atual sobre Segurança da Informação e normas sobre o tema publicadas pela Administração Pública Federal (vide Ofício SEI nº 1445710), não há portaria que se pretende revogar, no âmbito do Ministério da Cultura.
4. Acrescente-se, ainda, que as propostas ora em apreço encontram fundamento na Política de Segurança da Informação - POSIN (SEI nº 1284877), estabelecidas por meio da PORTARIA MINC Nº 48, DE 1º DE AGOSTO DE 2023. A referida Portaria, quando ainda minuta, foi objeto de análise por esta Consultoria, conforme PARECER nº 25/2023/CONJUR-MINC/CGU/AGU (PROCESSO nº 01400.001013/2023-51).
5. Assim, uma vez que o tema já fora submetido a este órgão jurídico, admite-se pronunciamento simplificado por meio de Nota, na forma do art. 4º da Portaria nº 1399/2009/AGU.
7. Proferindo-se à leitura de cada uma das Normas, constata-se que seu teor vai ao encontro da Política de Segurança da Informação - POSIN (SEI nº 1284877), constituindo-se como normas complementares, com previsão de diretrizes e procedimentos técnicos, senão, veja-se:
(i) Norma 1 - Gestão de Controle de Acesso: traz regras procedimentais para o acesso aos sistemas e às redes do Minc;
(ii) Norma 2 - Gestão de Ativos;
(iii) Norma 3 - Backup e restauração de dados digitais;
(iv) Norma 4 - Uso aceitável da internet e e-mail: a qual "por objetivo estabelecer responsabilidades e requisitos básicos de utilização da Internet e E-mail Institucional no âmbito do Ministério da Cultura em atenção ao disposto no Art. 26º da Política de Segurança da Informação (POSIN)."
8. Nesse diapasão, sob ponto de vista estritamente jurídico, é de se concluir que não restaram identificados óbices ao teor das normas em referência, opinando-se pelo regular prosseguimento do feito, com a sua posterior submissão ao Comitê de Governança Digital e Segurança da Informação.
9. À Coordenação Administrativa, para encaminhamento dos autos à Subsecretaria de Tecnologia da Informação e Inovação, em resposta ao Ofício nº 506/2023/STII/GSE/GM/MinC.
Brasília, 04 de janeiro de 2024.
(assinado eletronicamente)
SOCORRO JANAINA M. LEONARDO
Advogada da União
Consultora Jurídica
Atenção, a consulta ao processo eletrônico está disponível em https://supersapiens.agu.gov.br mediante o fornecimento do Número Único de Protocolo (NUP) 01400019143202340 e da chave de acesso c05a43ef