PORTARIA SE/MTUR Nº 11, DE 24 DE NOVEMBRO DE 2025

Aprova a Política de Gestão de Registros (Logs) de Auditoria no âmbito do Ministério do Turismo.

A SECRETÁRIA-EXECUTIVA, no uso das atribuições que lhe conferem o art. 6°, III, do Decreto n° 7.579, de 11 de outubro de 2011, e o art. 13, IV, ‘a”, do Anexo I, aprovado pelo Decreto nº 11.416, de 16 de fevereiro de 2023, combinado com o art. 8° da Portaria SGD/MGI n° 852, de 28 de março de 2023, e o que consta do Processo nº 72031.006111/2023-78,

RESOLVE:

Art. 1º Aprovar, na forma do Anexo desta portaria, a Política de Gestão de Registros (Logs) de Auditoria - PGRA no âmbito do Ministério do Turismo.

Art. 2º Esta Portaria entra em vigor na data de sua publicação.

ANA CARLA MACHADO LOPES

Este conteúdo não substitui o publicado no Boletim de Serviços, de 25 de novembro de 2025.

ANEXO

POLÍTICA DE GESTÃO DE REGISTROS (LOGS) DE AUDITORIA DO MINISTÉRIO DO TURISMO

CAPÍTULO I

DISPOSIÇÕES GERAIS

Seção I

Do propósito

Art. 1º A Política de Gestão de Registros (Logs) de Auditoria – PGRA objetiva estabelecer e manter processo de gestão de log de auditoria que defina os requisitos de log do órgão.

Parágrafo Único. O processo de que trata o caput contempla a coleta, o armazenamento, o uso e a exclusão de logs de auditoria e de sistemas para os ativos de informação do Ministério do Turismo.

Art. 2º O processo de gestão de log de auditoria será revisado anualmente ou sempre que necessário.

Seção II

Do escopo

[Bd1] Art. 3º Ficam estabelecidos como serviços e sistemas críticos do órgão:

I - todos os sistemas informatizados do MTur que atendam diretamente aos cidadãos;

II - todos os painéis gerenciais com informações disponibilizadas diretamente aos cidadãos;

III - todos os ativos ou serviços de TI onde sejam armazenados, de forma permanente ou em backup, as informações e os dados produzidos pelo Ministério do Turismo;

IV - todos os ativos ou serviços de TI cuja função principal seja a segurança da informação, tais como firewall, antivírus, antimalware, sistemas de detecção e prevenção de intrusões (IDS/IPS), emissão de certificados digitais entre outros;

V - o serviço de internet; e

VI - o Sistema Eletrônico de Informações (SEI).

Seção III

Das exceções

Art. 4º Não serão contemplados nesta Política ativos de informação cuja complexidade técnica, contratual ou normativa impeça sua adequação.

Parágrafo único. Nas situações registradas no caput, deve ser promovido o registro de tais impedimento em processo de gerenciamento de exceções.

Seção IV

Do público alvo

Art. 5º A Política tratada nesta Portaria se aplica aos ativos informacionais do Ministério do Turismo, incluindo servidores, gestores, prestadores de serviços e contratados que tenham acesso e/ou os utilizem, com responsabilidades específicas a indivíduos atuantes na gestão, processo e desenvolvimento em nome do Ministério do Turismo.

Parágrafo Único. A Política tratada nesta Portaria se aplica, nos limites estabelecidos contratualmente, a quaisquer provedores e entidades terceirizadas com acesso aos ativos de informação do Ministério do Turismo.

CAPÍTULO II

CONCEITOS E DEFINIÇÕES

Art. 6º Os termos utilizados nesta Portaria estão definidos a seguir, conforme Glossário de Segurança da Informação da Presidência da República:

I - ativo - qualquer coisa que tenha valor para a organização;

II - ativo de rede - equipamento que centraliza, interliga, roteia, comuta, transmite ou concentra dados em uma rede de computadores;

III - ativos de informação - meios de armazenamento, transmissão e processamento da informação, equipamentos necessários a isso, sistemas utilizados para tal, locais onde se encontram esses meios, recursos humanos que a eles têm acesso e conhecimento ou dado que tem valor para um indivíduo ou organização;

IV - descarte - eliminação correta de informações, documentos, mídias e acervos digitais;

V - ETIR - sigla de Equipe de Prevenção, Tratamento, e Resposta a Incidentes Cibernéticos;

VI - evento - qualquer mudança de estado que tem importância para a gestão de um item de configuração ou serviço de tecnologia da informação. Ou seja, qualquer ocorrência dentro do escopo de tecnologia da informação que tenha relevância para a gestão dos serviços entregues ao usuário;

VII - evento de segurança - qualquer ocorrência identificada em um sistema, serviço ou rede, que indique uma possível falha da política de segurança, falha das salvaguardas ou mesmo uma situação até então desconhecida, que possa se tornar relevante em termos de segurança;

VIII - host - um computador ou dispositivo de TI (por exemplo, roteador, switch, gateway, firewall);

IX - incidente – interrupção não planejada ou redução da qualidade de um serviço, ou seja, ocorrência, ação ou omissão, que tenha permitido, ou possa vir a permitir, acesso não autorizado, interrupção ou mudança nas operações (inclusive pela tomada de controle), destruição, dano, deleção ou mudança da informação protegida, remoção ou limitação de uso da informação protegida ou ainda a apropriação, disseminação e publicação indevida de informação protegida de algum ativo de informação crítico ou de alguma atividade crítica por um período de tempo inferior ao tempo objetivo de recuperação;

X - incidente cibernético – ocorrência que pode comprometer, real ou potencialmente, a disponibilidade, a integridade, a confidencialidade ou a autenticidade de sistema de informação ou das informações processadas, armazenadas ou transmitidas por esse sistema. Poderá também ser caracterizada pela tentativa de exploração de vulnerabilidade de sistema de informação que caracterize violação de norma, política de segurança, procedimento de segurança ou política de uso. De maneira geral, os tipos de atividade comumente reconhecidas como incidentes cibernéticos são: a) tentativas de obter acesso não-autorizado a um sistema ou a dados armazenados; b) tentativa de utilização não-autorizada de sistemas para a realização de atividades de processamento ou armazenamento de dados; c) mudanças não-autorizadas de firmware, hardware ou software em um ambiente computacional; d) ataques de negação de serviço (DoS); e demais ações que visem afetar a disponibilidade ou integridade dos dados. Um incidente de segurança cibernética não significa necessariamente que as informações já estão comprometidas; significa apenas que a informação está ameaçada;

XI - incidente de segurança – qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança dos sistemas de computação ou das redes de computadores;

XII - log (registro de auditoria) – registro de eventos relevantes em um dispositivo ou sistema computacional;

XIII - log de auditoria – fornecem eventos no nível do sistema que mostram vários horários de início/término de processo do sistema, travamentos etc. São nativos dos sistemas e exigem menos configurações para ativarem;

XIX - log de sistema – Incluem eventos no nível do usuário - quando um usuário faz login, acessa um arquivo etc;

XX - NTP (Network Time Protocol) – Protocolo de Tempo para Redes;

XXI - risco – no sentido amplo, trata-se da possibilidade de ocorrência de um evento que pode impactar o cumprimento dos objetivos. Pode ser mensurado em termos de impacto e de probabilidade;

XXII - sanitização de dados - Eliminação efetiva de informação armazenada em qualquer meio eletrônico, garantindo que os dados não possam ser reconstruídos ou recuperados; e

XXIII - trilha de auditoria - registro ou conjunto de registros gravados em arquivos de log ou outro tipo de documento ou mídia, que possam indicar, de forma cronológica e inequívoca, o autor e a ação realizada em determinada operação, procedimento ou evento.

CAPÍTULO III

REFERÊNCIA LEGAL E DE BOAS PRÁTICAS

Art. 7º Além da necessidade de observância da legislação correlata, são referências legais e de boas práticas a serem observadas as constantes no Anexo II desta Portaria. :

CAPÍTULO IV

DA GESTÃO DE REGISTROS DE AUDITORIA

Art. 8º A gestão de registro de auditoria deve contemplar a seguintes a fases:

I - coleta;

II - armazenamento;

III - uso; e

IV - exclusão.

§ 1° Cada fase compreende uma etapa do ciclo de vida de um log, seja um log de auditoria ou um log de sistema.

§ 2° As fases devem ser cumpridas na ordem apresentada nos incisos do caput.

§ 3° Para atendimento das fases que de tratam os incisos do caput, deve ser feito uso, no que couber, das 12 medidas de que tratam o Controle 8 do framework "Center for Internet Security CIS, framework Critical Security Control v8.0 Assessment Tool".

CAPÍTULO V

DECLARAÇÕES DA POLÍTICA

Seção I

Das premissas e Responsabilidades

Art. 9º A Política de Gestão de Registros (Logs) de Auditoria deve seguir as seguintes premissas e responsabilidades:

I - a atividade de auditoria é de competência:

a) da Coordenação-Geral de Tecnologia da Informação, que a coordenará;

b) de gestores de sistemas; e

c) de prestadores de serviço, quando autorizados em tal atividade.

II - os responsáveis pela auditoria interna devem se reportar ao Comitê de Governança Digital e Segurança da Informação;

III - os responsáveis pela auditoria, conforme cada função desempenhada, devem possuir capacidade técnica e experiência nas áreas de gerenciamento de logs e dispor de competências técnico-administrativas necessárias ao bom desempenho de suas funções, incluindo:

a) independência;

b) autonomia;

c) imparcialidade;

d) zelo;

e) integridade;

f) ética profissional; e

g) autoridade para avaliar as funções próprias e as funções terceirizadas no que couber.

IV - os responsáveis pela auditoria podem obter assessoria de especialistas/consultores externos ou mesmo equipe terceirizada para subsidiar a área quando esta não for suficientemente proficiente;

V – os responsáveis pela auditoria, quando executa a atividade de auditoria, deve possuir acesso às informações necessárias ao bom desempenho de suas funções, o que inclui acesso suficiente a quaisquer informações, ambientes e ativos de informação;

VI - os servidores e demais colaboradores devem cooperar com os responsáveis pela auditoria quanto ao acesso a ativos de informação, instalações e trânsito de dados.

VII - os responsáveis pela auditoria devem ter canal de comunicação permanente com as chefias e autoridades do Ministério do Turismo, para apoiar na atuação corretiva, de forma apropriada e tempestiva, em resposta às recomendações decorrentes dos trabalhos de auditoria.

VIII - os eventos de log devem ser gerados, selecionados e armazenados para todos os ativos.

IX - os responsáveis pela auditoria devem selecionar os eventos e os respectivos tempos de guarda, observando as diretrizes desta Política, bem como as demais características de uso dos eventos.

X - as exceções deverão ser documentadas.

Seção II

Dos requisitos do plano de registro de auditoria

Art. 10. O órgão deve habilitar a coleta de registro de logs em cada um dos dispositivos existentes para a execução de tarefas.

Art. 11. O órgão deve assegurar os recursos tecnológicos necessários para armazenar todos os dados coletados.

Parágrafo Único. Os recursos de que trata o caput devem estar fisicamente ou logicamente separados e seguros.

Art. 12. Para segurança do Ministério do Turismo, os recursos cibernéticos utilizados para armazenamento dos logs, sempre que possível, devem ser segmentados da rede primária e não permitir o acesso à rede externa.

Art. 13. Ativos de informação devem estar com as informações de data e hora sincronizadas.

Parágrafo Único. Pelo menos duas fontes de tempo devem ser configuradas para sincronizar o tempo dos ativos de informação, onde houver suporte.

Art. 14. Ativos de informação do Ministério do Turismo devem ser configurados de forma a sincronizar data e hora via protocolo NTP (Network Time Protocol), onde houver suporte.

Art. 15. Deve-se utilizar o horário de Greenwich em sistemas hospedados em provedores de nuvem onde o fuso horário local possa ser diferente do provedor.

Art. 16. Processos, procedimentos e medidas técnicas devem ser definidos e implementados visando a proteção dos dados sensíveis ao longo de seu ciclo de vida.

Art. 17. Devem ser mapeados os ativos de informação que possam ter suas configurações de log mais detalhadas com informações como:

I - ID de usuário de acesso;

II - IP do host;

III - data;

IV - hora;

V - fuso horário;

VI - acessos de usuários privilegiados; e

VII - outras informações pertinentes.

Art. 18. Devem ser mapeados os ativos de informação, que por qualquer motivo, não possam apresentar dados detalhados conforme artigo anterior.

Art. 19. Além de eventos em ativos de informação, o Ministério do Turismo pode registrar eventos de segurança da informação, tais como:

I - utilização de usuários, perfis e grupos privilegiados;

II - acoplamento e desacoplamento de dispositivos de hardware, principalmente mídias removíveis;

III - inicialização, suspensão e reinicialização de serviços;

IV - criação, modificação e exclusão de grupos ou listas de grupos com acessos privilegiados;

V - atualização das regras da política de senhas de usuários;

VI - criação, acesso e modificação de arquivos de sistemas considerados críticos; e

VII - qualquer evento realizado nos ativos de informação de segurança existentes.

Art. 20. Em caso de incidentes de segurança da informação ou quaisquer outros eventos de segurança, os responsáveis pela auditoria devem coletar e preservar todos os registros de eventos citados no art. 17 desta Portariae as mídias de armazenamento dos ativos de informação afetados pelo evento.

Art. 21. Caso não seja possível cumprir com as diretrizes apontadas no art. 17, em razão do reestabelecimento dos sistemas e serviços afetadas de forma rápida, os responsáveis pela auditoria devem coletar e armazenar cópias dos registros e arquivos afetados pelo incidente de segurança, tais como:

I - logs;

II - arquivos de sistema operacional;

III - configurações do sistema operacional; e

III - demais arquivos e logs que foram necessários para reestabelecimento do serviço ou sistema.

Art. 22. O órgão deve manter a estrutura original de diretórios além dos metadados destes arquivos, tais como:

I - data; e

II - hora de criação, de atualização e permissões.

Art. 23. Em caso de impossibilidade de preservar as evidências do evento de segurança, o responsável pela Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos - ETIR deve justificar, em relatório, a falta dessas evidências.

Art. 24. As ações para o reestabelecimento do serviço e sistema afetados pelo evento de segurança não devem impossibilitar a coleta, a preservação e a disponibilidade das evidências de forma íntegra.

Art. 25. Devem ser promovidas ações para a preservação dos arquivos coletados.

Seção III

Da fases da gestão de registros de auditoria

Art. 26. O órgão deve coletar informações de tráfego IP e monitorar todo fluxo de rede.

Art. 27. Em caso de incidente de segurança da informação, todo e qualquer material coletado deverá ser lacrado e custodiado pelo agente responsável pela ETIR, devendo ser preenchido um Termo de Custódia dos Ativos de Informação relacionados ao incidente de segurança.

Parágrafo Único. O material coletado ficará à disposição da autoridade competente comunicada, a qual orientará quanto a sua destinação.

Art. 28. A geração de log de auditoria deve estar habilitada nos ativos de informação, seguindo as diretrizes do processo de gestão de registros de auditoria do Ministério do Turismo.

Art. 29. Os logs e registros de auditoria de ativos de informação devem ser criados e retidos na medida necessária para permitir o monitoramento, análise, investigação e relatório de atividades ilegais ou não autorizadas.

Art. 30. Os logs devem ser coletados em um ou mais repositórios centrais.

Art. 31. Deve ser assegurado que ativos de informação classificados como críticos estejam registrando logs de auditoria.

Art. 32. Os usuários e componentes dos ativos de informação devem ser monitorados continuamente em busca de comportamento anômalo ou suspeito.

Art. 33. Os ativos de informação do órgão devem gerar registros de auditoria para eventos definidos.

Parágrafo Único. Os eventos definidos de que trata o caput incluem a identificação de eventos significativos e relevantes para a segurança da informação que precisam ser auditados.

Art. 34. A lista de eventos auditáveis definidos deve ser revisada e atualizada pelo menos a cada dois anos.

Art. 35. Devem ser registrados os eventos de:

I - tentativas de logon (do sistema ou domínio) bem-sucedidas e malsucedidas;

II - gerenciamento de contas de usuários;

III - acesso ao serviço de diretório;

IV - uso privilegiado;

V - acompanhamento de processos;

VI - sistema; e

VII - destruição de arquivo de log de auditoria.

Art. 36. As entradas de trilha de auditoria para componentes do sistema podem ser registradas de forma classificada e personalizada, incluindo:

I - identificação do usuário;

II - tipo de evento;

III - data e horário;

IV - indicação de sucesso ou falha;

V - origem do evento; e

VI - a identidade ou o nome dos dados afetados, componentes do sistema ou recurso.

Art. 37. Os ativos de informação que contenham dados sensíveis aos negócios do Ministério do Turismo devem possuir log de auditoria detalhado, incluindo, mas não se limitando, a elementos úteis que possam ajudar em uma eventual investigação forense, tais como:

I - origem do evento;

II - data e hora do evento;

III - nome de usuário; e

IV - endereços de origem e destino.

Art. 38. O órgão , ao manter registros de eventos (logs) e considerando o princípio de minimização de dados, deve gravar o acesso a dados pessoais, incluindo as seguintes informações, mas não se limitando a elas:

I - identificação do usuário;

II - data e hora do acesso;

III - qual titular de dados pessoais foi acessado; e

IV - quais mudanças, se for o caso, foram feitas (adições, modificações ou exclusões).

Seção IV

Do armazenamento

Art. 39. O armazenamento de logs deve estar de acordo com o processo de gestão de logs do órgão.

Art. 40. Caso os logs armazenados contenham dados pessoais, deve-se observar o previsto pelo art. 16 da Lei nº 13.709, de 14 de agosto de 2018 .

Art. 41. Os registros de auditoria devem ser retidos por, pelo menos, três anos.

Parágrafo Único. Atingido o período previsto no caput,, o órgão poderá continuar a reter registros de auditoria até que seja determinado que eles não sejam mais necessários para fins administrativos, legais, de auditoria ou outros fins operacionais.

Art. 42. Os registros de log de auditoria e outros logs de eventos de segurança devem ser revisados e retidos de maneira segura.

Art. 43. A capacidade de armazenamento dos logs deve ser constantemente verificada.

Art. 44. Os registros de auditoria devem ser correlacionados quando houver mais de um repositório de logs ou coletados de várias fontes de logs.

Art. 45. As cópias de segurança (backups) de arquivos de trilhas de auditoria de log devem ser armazenados de forma segura, em mídia de difícil alteração.

Seção V

Do uso

Art. 46. A frequência, escopo e/ou profundidade da revisão, análise e relatório dos registros de auditoria devem ser ajustados para atender às necessidades do órgão com base nas informações recebidas.

Art. 47. As análises de logs de auditoria devem ser realizadas pelo menos semestralmente para detectar anomalias ou eventos anormais que possam indicar uma ameaça potencial.

Art. 48. Os processos, procedimentos e medidas técnicas devem ser definidos, implementados e avaliados para reporte de anomalias e falhas do sistema de monitoramento e notificação imediata ao responsável, caso confirmado.

Art. 49. Os eventos relacionados à segurança nos aplicativos e na infraestrutura subjacente devem ser identificados e monitorados.

Art. 50. Os logs e registros de auditoria de sistemas devem ser configurados e armazenados na medida necessária para permitir o monitoramento, análise, investigação e relatório de atividades ilegais ou não autorizadas.

Art. 51. Em casos de resposta a incidentes cibernéticos, a coleta de dados forenses deve ser utilizada nos sistemas afetados, garantindo a transferência e a proteção de tais dados.

Art. 52. Os componentes do sistema e a operação desses componentes devem ser monitorados em busca de anomalias que sejam indicativas de atos maliciosos, desastres naturais e erros que afetem a capacidade do órgão de atingir seus objetivos.

Parágrafo Único. As anomalias devem ser analisadas para determinar se representam eventos ou incidentes de segurança.

Art. 53. Quando apropriado, os logs de auditoria de consultas DNS e URL em ativos de informação devem ser coletados.

Art. 54. As implementações de coleta de logs podem incluir a coleta de logs de auditoria de linhas de comando (CLI) tais como PowerShell, BASH e terminais administrativos remotos.

Art. 55. O comportamento dos ativos de informação deve ser analisado para detectar e mitigar a execução de comandos e scripts que possam indicar ações maliciosas.

Art. 56. Quando apropriado, logs do provedor de serviços devem ser coletados.

Art. 57. Quando suportado, convém que o acesso a sistemas críticos por terceiros seja monitorado quanto a atividades não autorizadas ou incomuns.

Art. 58. Os processos de revisão, análise e relatórios de registros de auditoria devem ser correlacionados, para investigação e resposta a indicações de atividades ilegais, não autorizadas, suspeitas ou incomuns.

Seção VI

Da exclusão

Art. 59. Quando não forem mais necessários para requisitos legais, regulatórios ou de negócios do órgão, os dados de logs devem ser removidos dos registros usando um método seguro aprovado.

Art. 60. Deve-se implementar medidas de salvaguarda para os logs, bem como controles específicos para registro das atividades dos administradores e operadores dos sistemas relacionados ao objeto, de forma que esses não tenham permissão de exclusão ou desativação dos registros (log) de suas próprias atividades.

Art. 61. A exclusão deve ser feita de modo a assegurar a irrecuperabilidade, destruindo inclusive as cópias, mídias digitais, impressos e discos rígidos.

Art. 62. No caso em que o descarte/exclusão for realizado por meio de terceiro, deve-se incluir registro/rastreamento quando enviado por correio seguro ou outro método de entrega

Art. 63. Mídias digitais de armazenamento ou discos rígidos podem ser reutilizados, desde que seja realizada a sobrescrição de dados na mídia a ser reutilizada.

CAPÍTULO VI

DISPOSIÇÕES FINAIS

Art. 64. A implementação das diretrizes e normas tratadas por esta Portaria, conforme suas peculiaridades e complexidades, ocorrerá de forma gradual, de acordo com as possibilidades técnica, operacional, administrativa e, se for o caso, financeira do órgão.

ANEXO II