Ministério da Saúde

DATASUS

Departamento de Segurança da Informação e Comunicações - DSIC

Este espaço disponibiliza a Legislação vigente a respeito da Segurança da Informação e Comunicações – SIC, para facilitar o acesso e fortalecer a cultura de SIC no MS.

A norma ISO 27001 é o padrão e a referência Internacional para a gestão da Segurança da informação, assim como a ISO 9001 é a referência Internacional para a certificação de gestão em Qualidade. A sua origem remota na realidade a um documento publicado em 1992 por um departamento do governo Britânico que estabelecia um código de práticas relativas à gestão da Segurança da Informação.

A ISO 27002 (conhecida antes como ISO 17799) é um código de práticas com um conjunto completo de controles que auxiliam aplicação do Sistema de Gestão da Segurança da Informação, facilitando atingir os requisitos especificados pela Norma ISO 27001 A ISO 27002 fornece um conjunto de Controles baseados em melhores práticas para a Segurança da Informação.

São algumas das normas voltadas para Segurança da Informação:

ISO 27001 – Sistema de Gestão de Segurança da Informação.

ISO 27002 – Código de Prática para Gestão de Segurança da Informação.

ISO 27003 – Diretrizes para Implantação de um Sistema de Gestão da Segurança da Informação.

ISO 27004 – Métricas para a Gestão da Segurança da Informação.

ISO 27005 – Gestão de Risco da Segurança da Informação.

GABINETE DE SEGURANÇA INSTITUCIONAL DA PRESIDÊNCIA DA REPÚBLICA GSI/PR:

INSTRUÇÕES NORMATIVAS 

IN01 GSI PR

Disciplina a Gestão de Segurança da Informação e Comunicações na Administração Pública Federal, direta e indireta, e dá outras providências.

IN02 GSI PR 

Dispõe sobre o Credenciamento de segurança para o tratamento de informação classificada, em qualquer grau de sigilo, no âmbito do Poder Executivo Federal.

IN03 GSI PR 

Dispõe sobre os parâmetros e padrões mínimos dos recursos criptográficos baseados em algoritmos de Estado para criptografia da informação classificada no âmbito do Poder Executivo Federal.

Normas Complementares à IN Nº 01 GSI/PR/2008 – Segurança da Informação e Comunicações

Norma Complementar nº 01/IN01/DSIC/GSIPR, Atividade de Normatização.

(Publicada no DOU Nº 200, de 15 Out 2008 – Seção 1)

Norma Complementar nº 02/IN01/DSIC/GSIPR, Metodologia de Gestão de Segurança da Informação e Comunicações.

(Publicada no DOU Nº 199, de 14 Out 2008 – Seção 1)

Norma Complementar nº 03/IN01/DSIC/GSIPR, Diretrizes para a Elaboração de Política de Segurança da Informação e Comunicações nos Órgãos e Entidades da Administração Pública Federal.

(Publicada no DOU Nº 125, de 03 Jul 2009 – Seção 1)

Norma Complementar nº 04/IN01/DSIC/GSIPR, e seu anexo, (Revisão 01) Diretrizes para o processo de Gestão de Riscos de Segurança da Informação e Comunicações – GRSIC nos órgãos e entidades da Administração Pública Federal.

(Publicada no DOU Nº 37, de 25 Fev 2013 – Seção 1)

Norma Complementar nº 05/IN01/DSIC/GSIPR, e seu anexo, Disciplina a criação de Equipes de Tratamento e Respostas a Incidentes em Redes Computacionais – ETIR nos órgãos e entidades da Administração Pública Federal.

(Publicada no DOU Nº 156, de 17 Ago 2009 – Seção 1)

Norma Complementar nº 06/IN01/DSIC/GSIPR, Estabelece Diretrizes para Gestão de Continuidade de Negócios, nos aspectos relacionados à Segurança da Informação e Comunicações, nos órgãos e entidades da Administração Pública Federal, direta e indireta – APF.

(Publicada no DOU Nº 223, de 23 Nov 2009 – Seção 1)

Norma Complementar nº 07/IN01/DSIC/GSIPR, (Revisão 01) Estabelece as Diretrizes para Implementação de Controles de Acesso Relativos à Segurança da Informação e Comunicações, nos órgãos e entidades da Administração Pública Federal (APF), direta e indireta.

(Publicada no DOU Nº 134, de 16 Jul 2014 – Seção 1)

Norma Complementar nº 08/IN01/DSIC/GSIPR, Estabelece as Diretrizes para Gerenciamento de Incidentes em Redes Computacionais nos órgãos e entidades da Administração Pública Federal.

(Publicada no DOU Nº 162, de 24 Ago 2010 – Seção 1)

Norma Complementar nº 09/IN01/DSIC/GSIPR, (Revisão 02) Estabelece orientações específicas para o uso de recursos criptográficos em Segurança da Informação e Comunicações, nos órgãos ou entidades da Administração Pública Federal (APF), direta e indireta.

(Publicada no DOU Nº 134, de 16 Jul 2014 – Seção 1)

Norma Complementar nº 10/IN01/DSIC/GSIPR, Estabelece diretrizes para o processo de Inventário e Mapeamento de Ativos de Informação, para apoiar a Segurança da Informação e Comunicações (SIC), dos órgãos e entidades da Administração Pública Federal, direta e indireta – APF.

(Publicada no DOU Nº 30, de 10 Fev 2012 – Seção 1)

Norma Complementar nº 11/IN01/DSIC/GSIPR, Estabelece diretrizes para avaliação de conformidade nos aspectos relativos à Segurança da Informação e Comunicações (SIC) nos órgãos ou entidades da Administração Pública Federal, direta e indireta – APF.

(Publicada no DOU Nº 30, de 10 Fev 2012 – Seção 1)

Norma Complementar nº 12/IN01/DSIC/GSIPR, Estabelece diretrizes e orientações básicas para o uso de dispositivos móveis nos aspectos referentes à Segurança da Informação e Comunicações (SIC) nos órgãos e entidades da Administração Pública Federal (APF), direta e indireta.

(Publicada no DOU Nº 30, de 10 Fev 2012 – Seção 1)

Norma Complementar nº 13/IN01/DSIC/GSIPR, Estabelece diretrizes para a Gestão de Mudanças nos aspectos relativos à Segurança da Informação e Comunicações (SIC) nos órgãos e entidades da Administração Pública Federal, direta e indireta (APF).

(Publicada no DOU Nº 30, de 10 Fev 2012 – Seção 1)

Norma Complementar nº 14/IN01/DSIC/GSIPR, Estabelece diretrizes para a utilização de tecnologias de Computação em Nuvem, nos aspectos relacionados à Segurança da Informação e Comunicações (SIC), nos órgãos e entidades da Administração Pública Federal (APF), direta e indireta.

(Publicada no DOU Nº 30, de 10 Fev 2012 – Seção 1)

Norma Complementar nº 15/IN01/DSIC/GSIPR, Estabelece diretrizes de Segurança da Informação e Comunicações para o uso de redes sociais, nos órgãos e entidades da Administração Pública Federal (APF), direta e indireta.

(Publicada no DOU Nº 119, de 21 Jun 2012 – Seção 1)

Norma Complementar nº 16/IN01/DSIC/GSIPR, Estabelece as Diretrizes para o Desenvolvimento e Obtenção de Software Seguro nos Órgãos e Entidades da Administração Pública Federal, direta e indireta.

(Publicada no DOU Nº 224, de 21 Nov 2012 – Seção 1)

Norma Complementar nº 17/IN01/DSIC/GSIPR, Estabelece Diretrizes nos contextos de atuação e adequações para Profissionais da Área de Segurança da Informação e Comunicações (SIC) nos Órgãos e Entidades da Administração Pública Federal (APF).

(Publicada no DOU Nº 68, de 10 Abr 2013 – Seção 1)

Norma Complementar nº 18/IN01/DSIC/GSIPR, Estabelece as Diretrizes para as Atividades de Ensino em Segurança da Informação e Comunicações (SIC) nos Órgãos e Entidades da Administração Pública Federal (APF).

(Publicada no DOU Nº 68, de 10 Abril 2013 – Seção 1)

Norma Complementar nº 19/IN01/DSIC/GSIPR, Estabelece Padrões Mínimos de Segurança da Informação e Comunicações para os Sistemas Estruturantes da Administração Pública Federal (APF), direta e indireta.

(Publicada no DOU Nº 134, de 16 Jul 2014 – Seção 1)

Norma Complementar nº 20/IN01/DSIC/GSIPR, (Revisão 01)Estabelece as Diretrizes de Segurança da Informação e Comunicações para Instituição do Processo de Tratamento da Informação nos órgãos e entidades da Administração Pública Federal (APF), direta e indireta.

(Publicada no DOU Nº 242, de 15 Dez 2014 – Seção 1)

Norma Complementar nº 21/IN01/DSIC/GSIPR, Estabelece as Diretrizes para o Registro de Eventos, Coleta e Preservação de Evidências de Incidentes de Segurança em Redes nos órgãos e entidades da Administração Pública Federal, direta e indireta.

(Publicada no DOU Nº 196, de 10 Out 2014 – Seção 1)

NORMAS COMPLEMENTARES IN02/GSI/PR:

NC01-Credenciamento de Segurança de Pessoas, Órgãos e entidades públicas e privadas para o Tratamento de Informações Classificadas

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES DO MINISTÉRIO DA SAÚDE – POSIC:

Portaria nº 271 de 27 de janeiro de 2017.

Dispõe sobre a Política de Segurança da Informação e Comunicações do Ministério da Saúde (POSIC/MS)

NORMAS DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES DO MINISTÉRIO DA SAÚDE:

Portaria nº 85, de 31 de janeiro de 2012.

Publica as normas de Segurança da Informação no âmbito do Ministério da Saúde:

I – Norma de Criação e Manutenção de Contas de acesso aos recursos de TIC

II – Norma de Segurança para o Uso do Correio Eletrônico

III – Norma de Segurança para Controle de Acesso Remoto

IV – Norma de Segurança para Uso de Internet

Portaria nº 1.996, de 17 de Julho de 2018

Define Normas de Segurança da Informação e Comunicações no âmbito do Ministério da Saúde. Esta Portaria define Normas de Segurança da Informação e Comunicações no âmbito do Ministério da Saúde, conforme Anexos I a VII a esta Portaria, a seguir elencadas:

I – Constituição de Equipe de Tratamento e Respostas a Incidentes na Rede Computacional do Ministério da Saúde – ETIR-MS;

II – Controle de Acesso;

III – Cópias de Salvaguarda;

IV – Gerenciamento de Mudanças;

V – Inventário e Mapeamento de Ativos de Informação – Gestão de Ativos;

VI – Gestão de Riscos de Segurança da Informação e Comunicações; e

VII – Uso de Dispositivos Móveis.

PORTARIAS DATASUS

Portaria nº 2, de 27 de maio de 2013.

Institui no âmbito de Departamento de Informática do SUS – DATASUS, normas, políticas e procedimentos com vistas a melhoria da segurança e do sistema de gestão em TI.

Norma de Segurança para Gerenciamento de Mudanças;

Norma de Segurança da Gestão de Ativos;

Política de Gestão de Riscos – PGR

TERMOS

Termo de Compromisso

Dicas da SIC

O processo de Sensibilização em SIC – “É Você Quem Faz” tem o objetivo de conscientizar os agentes públicos do Ministério da Saúde sobre a importância da Segurança da Informação e Comunicações no ambiente corporativo.

Para o alcance máximo no número de agentes público capacitados, o MS por meio de DATASUS, disponibilizou na plataforma EAD do UniverSUS o CONSIC – Conscientização em Segurança da Informação e Comunicações, abordando diversos assuntos relacionados ao tema.

A capacitação em Segurança da Informação e Comunicações no Ministério da Saúde, visa o atendimento da Norma Complementar Nº.03/IN01/DSIC/GSIPR, de 30 de junho de 2009, da Política de Segurança da Informação e Comunicações – POSIC/MS Portaria GM nº 271, Publicada em 27 de janeiro de 2017, Acórdão Nº.757/2011-TCU e Complementar Nº.18/IN01/DSIC/GSIPR, 18 de abril de 2013.

O NSIC está disponível para esclarecimentos e apoio durante a execução do curso.

Duvidas e ou esclareciamentos: datasus.csic@saude.gov.br

Este material tem o objetivo de levar ao conhecimento dos Agentes Públicos do Ministério da Saúde a importância da Segurança da Informação, boas práticas de SIC, assim como os normativos e a POSIC-MS (Política de Segurança da Informação e Co­municações). Reforçar o comprometimento do MS e os níveis hierárquicos em relação a POSIC e Normas publicadas.

Download Cartilha de SIC

São alguns conceitos:

Ativo: qualquer bem, tangível ou intangível que tenha valor para a organização;

Ativo de informação: ativo que guarda informações do órgão;

Autenticidade: é a garantia de que o conteúdo da informação seja
verdadeiro, como também a fonte geradora da informação e o seu 
destinatário sejam realmente quem alegam ser. Propriedade de que a informação e comunicação sejam produzidas, expedidas, modificadas ou destruídas por determinada pessoa física, ou por determinado sistema, órgão ou entidade.

Ciclo de vida da informação: compreende as fases de criação, manuseio, armazenamento, transporte e descarte da informação, considerando sua confidencialidade, integridade e disponibilidade;

Código Malicioso: programa desenvolvido para executar ações danosas em um computador, rede ou sistema.

Classificação da informação: atribuição, pela autoridade competente, de grau de sigilo dado à informação, documento, material, área ou instalação;

Confidencialidade: garantia de que o acesso à informação seja obtido somente por pessoas autorizadas;

Conta de acesso: conjunto do “nome de usuário” e “senha” utilizado para acesso aos sistemas informatizados e recursos de TIC;

Controles de Segurança: forma de gerenciar o risco, incluindo políticas, procedimentos, diretrizes, práticas ou estruturas organizacionais, que podem ser de natureza administrativa, técnica, de gestão ou legal;

Dado: informação preparada para ser processada, operada e transmitida por um sistema ou programa de computador;

Dados confidenciais: dados pessoais que permitam a identificação da pessoa e possam ser associados a outros dados referentes ao endereço, idade, raça, opiniões políticas e religiosas, crenças, ideologia, saúde física, saúde mental, vida sexual, registros policiais, assuntos familiares, profissão e outros que a Lei assim o definir, não podendo ser divulgados ou utilizados para finalidade distinta da que motivou a estruturação do banco de dados, salvo por ordem judicial ou com anuência expressa do titular ou seu representante legal;

Disponibilidade: garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário;

Evento: ocorrência identificada de um sistema, serviço ou rede que indica uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente conhecida que possa ser relevante para a segurança da informação (ISO/IEC TR 18044:2004);

Gestão de Riscos: processo que visa identificar, quantificar e mitigar os riscos a que estão submetidas as informações de um determinado sistema órgão ou entidade.

Gestor da informação: agente público do Ministério da Saúde responsável pela administração das informações geridas nos processos de trabalho sob sua responsabilidade;

Grau de sigilo: gradação de segurança atribuída a dados e informações em decorrência de sua natureza ou conteúdo;

Incidente de Segurança: todo e qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança de sistemas de informação ou de redes de computadores;

Integridade: salvaguarda da exatidão e completeza da informação e dos métodos de processamento; 

Quebra de segurança: a ação ou omissão, intencional ou acidental, que resulta no comprometimento ou no risco de comprometimento da informação;

Recursos de TIC: recursos de tecnologia da informação e comunicação que processam, armazenam e transmitem informações, tais como aplicações, sistemas de informação, estações de trabalho, notebooks, servidores de rede, equipamentos de conectividade e infraestrutura.

Segurança da informação e Comunicações: preservação da confidencialidade, da integridade e da disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas;

SPAM: são mensagens eletrônicas que são enviadas o consentimento contendo propagandas e conteúdos mais agressivos (como vírus) e ainda conseguem obter suas informações pessoais — como dados bancários, por exemplo.

Vírus: são os programas mais utilizados para causar danos, roubar informações, etc. Têm a capacidade de infectar um sistema, fazer cópias de si mesmo e tentar se espalhar para outros computadores;

Worms: é um programa malicioso que se utiliza de uma rede para se espalhar por vários computadores sem que nenhum usuário interfira neste processo

Malware: é a combinação das palavras inglesas malicious e software, ou seja, programas maliciosos. São programas e comandos feitos para diferentes propósitos: apenas infiltrar um computador ou sistema, causar danos e apagar dados, roubar informações, divulgar serviços, etc.

Phishing: tem o objetivo de “pescar” informações e dados pessoais importantes através de mensagens falsas.

Trojan: é um conjunto de funções desenvolvido para executar ações indesejadas e escondidas.