Ministério da Saúde
A Segurança da Informação é desenvolvida com base em modelos e padrões normatizadores, frameworks e normas instituídas por órgãos oficiais, o que exige uma real importância no atendimento das legislações inerentes a Segurança da Informação – SI, implantando mecanismos legisladores para cada organização.
O Ministério da Saúde, como órgão da Administração Pública Federal, está subordinado as legislações preconizadas pelo Gabinete de Segurança Institucional da Presidência da República – GSI-PR, por meio do Departamento de Segurança da Informação, órgão oficial responsável por legislar sobre o tema.
Neste espaço está disponível a legislação vigente de SI do GSI-PR, alguns frameworks com as boas práticas SI e as publicações vigentes do MS, para facilitar o acesso e fortalecer a cultura de SI no MS.
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES DO MINISTÉRIO DA SAÚDE – POSIC:
Portaria nº 271 de 27 de janeiro de 2017.
Dispõe sobre a Política de Segurança da Informação e Comunicações do Ministério da Saúde (POSIC/MS)
NORMAS DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES DO MINISTÉRIO DA SAÚDE:
Portaria nº 85, de 31 de janeiro de 2012.
Publica as normas de Segurança da Informação no âmbito do Ministério da Saúde:
I – Norma de Criação e Manutenção de Contas de acesso aos recursos de TIC
II – Norma de Segurança para o Uso do Correio Eletrônico
III – Norma de Segurança para Controle de Acesso Remoto
IV – Norma de Segurança para Uso de Internet
Portaria nº 1.996, de 17 de Julho de 2018
Define Normas de Segurança da Informação e Comunicações no âmbito do Ministério da Saúde. Esta Portaria define Normas de Segurança da Informação e Comunicações no âmbito do Ministério da Saúde, conforme Anexos I a VII a esta Portaria, a seguir elencadas:
I – Constituição de Equipe de Tratamento e Respostas a Incidentes na Rede Computacional do Ministério da Saúde – ETIR-MS;
II – Controle de Acesso;
III – Cópias de Salvaguarda;
IV – Gerenciamento de Mudanças;
V – Inventário e Mapeamento de Ativos de Informação – Gestão de Ativos;
VI – Gestão de Riscos de Segurança da Informação e Comunicações; e
VII – Uso de Dispositivos Móveis.
PORTARIAS DATASUS
Portaria nº 2, de 27 de maio de 2013.
Institui no âmbito de Departamento de Informática do SUS – DATASUS, normas, políticas e procedimentos com vistas a melhoria da segurança e do sistema de gestão em TI.
Norma de Segurança para Gerenciamento de Mudanças;
Norma de Segurança da Gestão de Ativos;
Política de Gestão de Riscos – PGR
TERMOS
GABINETE DE SEGURANÇA INSTITUCIONAL DA PRESIDÊNCIA DA REPÚBLICA GSI/PR:
INSTRUÇÕES NORMATIVAS
Disciplina a Gestão de Segurança da Informação e Comunicações na Administração Pública Federal, direta e indireta, e dá outras providências.
Dispõe sobre o Credenciamento de segurança para o tratamento de informação classificada, em qualquer grau de sigilo, no âmbito do Poder Executivo Federal.
Dispõe sobre os parâmetros e padrões mínimos dos recursos criptográficos baseados em algoritmos de Estado para criptografia da informação classificada no âmbito do Poder Executivo Federal.
Normas Complementares à IN Nº 01 GSI/PR/2008 – Segurança da Informação e Comunicações
Norma Complementar nº 01/IN01/DSIC/GSIPR, Atividade de Normatização.
(Publicada no DOU Nº 200, de 15 Out 2008 – Seção 1)
Norma Complementar nº 02/IN01/DSIC/GSIPR, Metodologia de Gestão de Segurança da Informação e Comunicações.
(Publicada no DOU Nº 199, de 14 Out 2008 – Seção 1)
Norma Complementar nº 03/IN01/DSIC/GSIPR, Diretrizes para a Elaboração de Política de Segurança da Informação e Comunicações nos Órgãos e Entidades da Administração Pública Federal.
(Publicada no DOU Nº 125, de 03 Jul 2009 – Seção 1)
Norma Complementar nº 04/IN01/DSIC/GSIPR, e seu anexo, (Revisão 01) Diretrizes para o processo de Gestão de Riscos de Segurança da Informação e Comunicações – GRSIC nos órgãos e entidades da Administração Pública Federal.
(Publicada no DOU Nº 37, de 25 Fev 2013 – Seção 1)
Norma Complementar nº 05/IN01/DSIC/GSIPR, e seu anexo, Disciplina a criação de Equipes de Tratamento e Respostas a Incidentes em Redes Computacionais – ETIR nos órgãos e entidades da Administração Pública Federal.
(Publicada no DOU Nº 156, de 17 Ago 2009 – Seção 1)
Norma Complementar nº 06/IN01/DSIC/GSIPR, Estabelece Diretrizes para Gestão de Continuidade de Negócios, nos aspectos relacionados à Segurança da Informação e Comunicações, nos órgãos e entidades da Administração Pública Federal, direta e indireta – APF.
(Publicada no DOU Nº 223, de 23 Nov 2009 – Seção 1)
Norma Complementar nº 07/IN01/DSIC/GSIPR, (Revisão 01) Estabelece as Diretrizes para Implementação de Controles de Acesso Relativos à Segurança da Informação e Comunicações, nos órgãos e entidades da Administração Pública Federal (APF), direta e indireta.
(Publicada no DOU Nº 134, de 16 Jul 2014 – Seção 1)
Norma Complementar nº 08/IN01/DSIC/GSIPR, Estabelece as Diretrizes para Gerenciamento de Incidentes em Redes Computacionais nos órgãos e entidades da Administração Pública Federal.
(Publicada no DOU Nº 162, de 24 Ago 2010 – Seção 1)
Norma Complementar nº 09/IN01/DSIC/GSIPR, (Revisão 02) Estabelece orientações específicas para o uso de recursos criptográficos em Segurança da Informação e Comunicações, nos órgãos ou entidades da Administração Pública Federal (APF), direta e indireta.
(Publicada no DOU Nº 134, de 16 Jul 2014 – Seção 1)
Norma Complementar nº 10/IN01/DSIC/GSIPR, Estabelece diretrizes para o processo de Inventário e Mapeamento de Ativos de Informação, para apoiar a Segurança da Informação e Comunicações (SIC), dos órgãos e entidades da Administração Pública Federal, direta e indireta – APF.
(Publicada no DOU Nº 30, de 10 Fev 2012 – Seção 1)
Norma Complementar nº 11/IN01/DSIC/GSIPR, Estabelece diretrizes para avaliação de conformidade nos aspectos relativos à Segurança da Informação e Comunicações (SIC) nos órgãos ou entidades da Administração Pública Federal, direta e indireta – APF.
(Publicada no DOU Nº 30, de 10 Fev 2012 – Seção 1)
Norma Complementar nº 12/IN01/DSIC/GSIPR, Estabelece diretrizes e orientações básicas para o uso de dispositivos móveis nos aspectos referentes à Segurança da Informação e Comunicações (SIC) nos órgãos e entidades da Administração Pública Federal (APF), direta e indireta.
(Publicada no DOU Nº 30, de 10 Fev 2012 – Seção 1)
Norma Complementar nº 13/IN01/DSIC/GSIPR, Estabelece diretrizes para a Gestão de Mudanças nos aspectos relativos à Segurança da Informação e Comunicações (SIC) nos órgãos e entidades da Administração Pública Federal, direta e indireta (APF).
(Publicada no DOU Nº 30, de 10 Fev 2012 – Seção 1)
Norma Complementar nº 14/IN01/DSIC/GSIPR, Estabelece diretrizes para a utilização de tecnologias de Computação em Nuvem, nos aspectos relacionados à Segurança da Informação e Comunicações (SIC), nos órgãos e entidades da Administração Pública Federal (APF), direta e indireta.
(Publicada no DOU Nº 30, de 10 Fev 2012 – Seção 1)
Norma Complementar nº 15/IN01/DSIC/GSIPR, Estabelece diretrizes de Segurança da Informação e Comunicações para o uso de redes sociais, nos órgãos e entidades da Administração Pública Federal (APF), direta e indireta.
(Publicada no DOU Nº 119, de 21 Jun 2012 – Seção 1)
Norma Complementar nº 16/IN01/DSIC/GSIPR, Estabelece as Diretrizes para o Desenvolvimento e Obtenção de Software Seguro nos Órgãos e Entidades da Administração Pública Federal, direta e indireta.
(Publicada no DOU Nº 224, de 21 Nov 2012 – Seção 1)
Norma Complementar nº 17/IN01/DSIC/GSIPR, Estabelece Diretrizes nos contextos de atuação e adequações para Profissionais da Área de Segurança da Informação e Comunicações (SIC) nos Órgãos e Entidades da Administração Pública Federal (APF).
(Publicada no DOU Nº 68, de 10 Abr 2013 – Seção 1)
Norma Complementar nº 18/IN01/DSIC/GSIPR, Estabelece as Diretrizes para as Atividades de Ensino em Segurança da Informação e Comunicações (SIC) nos Órgãos e Entidades da Administração Pública Federal (APF).
(Publicada no DOU Nº 68, de 10 Abril 2013 – Seção 1)
Norma Complementar nº 19/IN01/DSIC/GSIPR, Estabelece Padrões Mínimos de Segurança da Informação e Comunicações para os Sistemas Estruturantes da Administração Pública Federal (APF), direta e indireta.
(Publicada no DOU Nº 134, de 16 Jul 2014 – Seção 1)
Norma Complementar nº 20/IN01/DSIC/GSIPR, (Revisão 01)Estabelece as Diretrizes de Segurança da Informação e Comunicações para Instituição do Processo de Tratamento da Informação nos órgãos e entidades da Administração Pública Federal (APF), direta e indireta.
(Publicada no DOU Nº 242, de 15 Dez 2014 – Seção 1)
Norma Complementar nº 21/IN01/DSIC/GSIPR, Estabelece as Diretrizes para o Registro de Eventos, Coleta e Preservação de Evidências de Incidentes de Segurança em Redes nos órgãos e entidades da Administração Pública Federal, direta e indireta.
(Publicada no DOU Nº 196, de 10 Out 2014 – Seção 1)
Família ISO 27000 – Gestão da Segurança da Informação
A família 27000 tem aproximadamente 45 normas entre publicadas, propostas e ou em fase de estudos. Apresentamos abaixo, os temas abordados em algumas normas publicadas:
ABNT NBR ISO/IEC 27001:2013
Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Requisitos
ABNT NBR ISO/IEC 27002:2013
Tecnologia da informação — Técnicas de segurança — Código de prática para controles de segurança da informação
ABNT NBR ISO/IEC 27003:2020
Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Orientações
ABNT NBR ISO 27799:2019
Informática em saúde – Gestão de segurança da informação em saúde utilizando a ISO/IEC 27002
ABNT NBR ISO/IEC 27017:2016
Tecnologia da informação – Técnicas de segurança – Código de prática para controles de segurança da informação com base ABNT NBR ISO/IEC 27002 para serviços em nuvem.