brazilian legislation - overview

Pós-Graduação 2008

Legislação (digital) Brasileira

Jairo Willian Pereira

Sec+, Net+, MCSO, ITIL, LPIC, MCSA & MCSE Certified

jairo.pereira@gmail.com

CON – A3 2

Cronograma

Semana Teoria Prática

Conceituação Básica SI

E01 Conceitos de Gestão de Risco

2 Histórico do Surgimento das Normas de Segurança

Sarbanes Oxley

3 Legislação Brasileira

ISO/EIC 15408 (CC) E03

4 Família 2700x (BS-7799)

5 Planejamento Corporativo de Segurança da Informação

Primeira Avaliação - Dissertativa P01

Apresentação Trabalhos:

BS 25999 – Gestão de Contiuidade de Negócios

RFC 2196 – Gestão de Resposta à Incidentes de Seguranca

ITIL – Infomation Technology Infrastructure Library

COSO - Committee of Sponsoring Organizations of the Treadway Commission

CON – A3 3

Índice Histórico

1. Tipificação

2. Regulamentação Bancária

3. Legislação Brasileira

4. Conclusão

5. Cartoon

6. Exercício

7. HomeWork

CON – A3 4

Tipificação

“Qualquer violação grave da lei moral, civil ou religiosa;

ato ilícito; contravenção ou ação anti-jurídica culpável.”

“Nullum crimen, nulla poena sine praevia lege”

“Não há crime, sem lei anterior que o defina.

Não há pena sem prévia cominação legal”

CON – A3 5

Tipificação

“Qualquer conduta ilegal não ética, ou não autorizada, que envolva

processamento automático de dados e/ou transmissão de dados”

Organização para Cooperação Econômica e Desenvolvimento, ONU

“Recente fenômeno histórico-sócio-cultural caracterizado pela

elevada incidência de ilícitos penais que têm por objeto material

ou meio de execução o ambiente tecnológico informático”

Guilherme Guimarães Feliciano, Escritor e Juiz

Crime Informático?

CON – A3 6

Tipificação

:: Impróprios

Informática é utilizada como meio para prática do crime.

A tecnologia é instrumento de execução do delito.

(violação direitos autorais, pornografia, difamação...)

:: Próprios

Informática é o objeto do crime. Tecnologia, dado ou

informação são finalidades almejadas pelo agente.

(DoS, acesso não autorizado, fraude eletrônica...)

Tipos de Crimes Informático

CON – A3 7

Regulamentação Bancária

IMPLANTAÇÃO E IMPLEMENTAÇÃO DE SISTEMA DE CONTROLES INTERNOS

Art. 2º - Os controles internos, que devem ser acessíveis a todos os funcioná-

rios da instituição, de forma a assegurar seu conhecimento função, e as respec-

tivas responsa-bilidades atribuídas aos níveis da organização, devem prever:

I - A definição de responsabilidades corporativas;

III - Meios de identificar e avaliar possíveis ameaças internas e externas;

V - Continua avaliação dos diversos riscos e respectivas atividades associadas;

VII - Testes periódicos de segurança para os sistemas de informações;

CMN – BACEN Resolução 2554/98

CON – A3 8

Art. 3º - O acompanhamento sistemático das atividades relacionadas

com o sistema de controles internos deve ser objeto de relatórios,

no mínimo semestrais, contendo:

I - Conclusões dos exames/análises efetuadas;

II - Recomendações sobre eventuais deficiências e cronograma saneamento;

III - Manifestação dos responsáveis pelas respectivas áreas deficientes e

contra-medidas adotadas;

CON – A3 9

Art. 3º

Parágrafo único: As conclusões, recomendações e manifestação

referidas nos incisos I, II e III deste artigo:

I - devem ser submetidas ao conselho de administração ou a

diretoria, bem como a auditoria externa da instituição;

II - devem permanecer a disposição do Banco Central do Brasil

por 5 (cinco) anos.

CON – A3 10

Art. 4º

Incumbe a diretoria da instituição, alem das responsabilidades enumeradas

no art. 1., parágrafo 2., a promoção de elevados padrões éticos e de

integridade e de uma cultura organizacional que demonstre e enfatize,

a todos os funcionários, a importância dos controles internos

e o papel de cada um no processo.

CON – A3 11

ABERTURA E MOVIMENTAÇÃO DE CONTA DEPÓSITO POR MEIO ELETRÔNICO (APENAS)

RESPECTIVO MEIO ELETRÔNICO DE COMUNICAÇÃO

• Parágrafo 1: consideram-se meios eletrônicos a Internet, terminais de

auto-atendimento, o telefone e outros meios de comunicação a distancia

disponíbilizados pela instituição.

Art. 2º

III – Cabe a diretoria, responsabilidade pelos sistemas de controles que

garantam o sigilo e a segurança dos meios eletrônicos disponíveis, bem

como o adequado monitoramento das informações sobre movimentação

das contas de depósitos de que trata esta Resolução;

CON – A3 12

Arquitetura & Requisitos - SPB

:: Atuação Segurança

• Política de Segurança

• Certificação Digital

• Especificações Segurança (M/A)

• Informações para Testes de Segurança

:: Das Câmaras (Clearings)

• CETIP Central de Liquidação de Títulos Privados

• SELIC Sistema Especial de Liquidação e de Custódia

• CBLC Câmara Brasileira de Liquidação e Custódia

• BM&F Bolsa de Mercadoria & Futuros

• CIP Câmara Interbancária de Pagamentos

• BC Banco Central

Composição do GT de Segurança

• ABBC Associação Brasil. de Bancos

• ABBI Assoc. Brasil. de Bancos Internacionais

• ASBACE Assoc. Brasil. Bancos Estad. Regionais

• FEBRABAN Federação Brasil. de Bancos

CON – A3 13

Arquitetura & Requisitos - SPB

CON – A3 14

:: Premissas

3.5.1 – Todos serviços do SPB, devem estar disponíveis pelo período estabelecido no

regulamento do BACEN – Banco Central do Brasil;

3.5.2 - Mensagens transmitidas entre participantes-BACEN são irrevogáveis,

incondicionais e finais;

3.5.3 - Todas mensagens enviadas são obrigatoriamente assinadas digitalmente pelo Emissor;

(exceção, se julgado necessário, das relativas a testes de conectividade);

3.5.4 – Todas mensagens enviadas serão obrigatoriamente criptografadas

(exceção a testes de conectividade, comunicação de erros, e sem destinatário específico);

Premissas - SPB

CON – A3 15

:: Premissas

3.5.5 – Todas mensagens devem possuir identificação única garantindo rastreabilidade

e unicidade;

3.5.6 – Todas aplicações devem ser testadas e homologadas em ambiente de certificação;

3.5.7 - Todas as Instituições devem aderir às especificações de segurança do SPB;

(inclusive ao Protocolo de Segurança para troca das mensagens);

3.5.8 - Toda e qualquer mensagem gerada/enviada ao SPB pelo participantes é de

exclusiva responsabilidade de quem a originou;

3.5.9 - As premissas anteriores também se aplicam aos arquivos disponibilizados via FTP;

Premissas - SPB

CON – A3 16

:: Diretrizes

3.6.1 – Todas conexões da RSFN deverão estar configuradas de acordo com as normas

de segurança da concessionária fornecedora da infra-estrutura;

3.6.5 - As Câmaras, Aglomerados e Conglomerados devem possuir ambiente redundante,

incluindo elementos de rede e de processamento, para garantia de disponibilidade;

3.6.6 - As Instituições serão responsáveis pela “segurança” e acesso a sua chave privada;

3.6.9 - As Instituições deverão possuir sistemática de Segurança da Informação

visando assegurar a confidencialidade, a integridade, a autenticidade, o não repúdio

e disponibilidade dos dados e informações tratadas, classificadas e sensíveis;

Diretrizes - SPB

CON – A3 17

:: Diretrizes

3.6.12 - As Câmaras, Aglomerados e Conglomerados deverão possuir procedimentos

de backup que garantam a recuperação do ambiente e dados trafegados;

3.6.14 - As Instituições deverão possuir registros que capacitem a rastreabilidade e/ou a

recomposição das transações geradas no SPB, garantindo assim sua auditabilidade;

3.6.15 - Os Certificados Digitais deverão ser emitidos por uma entidade certificadora que

atenda aos requisitos da legislação vigente e que seja devidamente credenciado

pelo Comitê Gestor da Infra-estrutura de Chaves Públicas Brasileira - ICP-Brasil.

+ Info: Manual Técnico RSFN – Comunicação de dados BACEN, Instituições e Clearings.

Diretrizes - SPB

CON – A3 18

DIVULGAÇÃO/USO DE FATOS/INFORMAÇÕES RELEVANTES DE CIAS CAPITAL ABERTO

• Art. 8º Cumpre aos responsáveis, subordinados, terceiros e quaisquer órgãos com funções técnicas

ou consultivas, guardar sigilo das informações relativas a ato ou fato relevante às quais tenham acesso privilegiado em razão do cargo ou posição que ocupam, até sua divulgação ao mercado, respondendo solidariamente com estes na hipótese de descumprimento.

• Art. 13º

Antes da divulgação ao mercado de ato ou fato relevante, é vedada a negociação com

valores mobiliários de sua emissão, ou a eles referenciados, pela própria companhia aberta, pelos acionistas controladores, demais membros ou funcionários diretos ou indiretos, ou por quem quer que, em virtude de sua “posição”, tenha conhecimento da informação relativa ao ato ou fato relevante.

Parágrafo único: A CVM deverá comunicar ao Ministério Público a ocorrência dos eventos

previstos nesta Instrução que constituam crime.

CVM – Instrução 358/02

CON – A3 19

Legislação Brasileira

RESPONSABILIDADE DO ADMINISTRADOR

• Art. 1.011

O administrador da sociedade deverá ter, no exercício de suas funções, o cuidado

e a diligência que todo homem ativo e probo costuma empregar na administração

de seus próprios negócios.

• Art. 1.016

Os administradores respondem solidariamente perante a sociedade e os terceiros

prejudicados, por culpa no desempenho de suas funções.

Novo Código Cívil, Lei 10.406/02

CON – A3 20

RESPONSABILIDADE DO ADMINISTRADOR

“... sócios têm o dever legal de exigir de diretores, gerentes ou CSOs que "fechem" as

vulnerabilidades nos sistemas, evitando, assim, repercutir qualquer

tipo de dano a terceiros.”

“...deverão os sócios ter o total empenho e diligência em identificar e processar os

responsáveis por ilícitos digitais, sob pena de incorrerem em má gestão, e

responderem com seu patrimônio pessoal perante aqueles terceiros lesados com

tais eventos, que não foram devidamente apurados e que não tiveram seus

responsáveis sujeitados ao devido processo judicial.”

Renato Opice Blum, Opice Blum Advogados

Novo Código Cívil, Lei 10.406/02

CON – A3 21

CRIMES DA ÁREA DE INFORMÁTICA, SUAS PENALIDADES E PROVIDÊNCIAS

• Artigo 3º

Para fins desta lei, entende-se por informações privadas aquelas relativas à pessoa

física ou jurídica identificada ou identificável.

Parágrafo Único: É identificável a pessoa cuja individualização não envolva custos

ou prazos desproporcionados.

• Artigo 5º

A coleta, o processamento e a distribuição, com finalidades comerciais, de

informações privadas ficam sujeitas à prévia aquiescência da pessoa a que se

referem, que poderá ser tornada sem efeito a qualquer momento, ressalvando-se o

pagamento de indenizações a terceiros, quando couberem.

Projeto de Lei 89/03

CON – A3 22

• Artigo 8º

Apagar, destruir, modificar ou de qualquer forma inutilizar, total ou parcialmente, dado

ou programa de computador, de forma indevida ou não autorizada.

PENA: detenção, de um a três anos e multa.

• Artigo 10º

Apagar, destruir, alterar, ou de qualquer forma inutilizar, senha ou qualquer outro

mecanismo de acesso a computador, programa de computador ou dados, de forma

indevida ou não autorizada.

PENA: detenção, de um a dois anos e multa.

CON – A3 23

• Artigo 12º

Obter segredos, de industria, ou comércio, ou informações pessoais armazenadas

em computador, redes, meio eletrônico de natureza magnética, óptica ou similar,

de forma indevida ou não autorizada.

PENA: detenção, de um a três anos e multa.

• Artigo 13º

Criar, desenvolver ou inserir, dado ou programa em computador ou redes, de

forma indevida ou não autorizada, com a finalidade de apagar, destruir, inutilizar ou

modificar dados, programas, redes de computadores, dificultar ou impossibilitar, total ou

parcialmente, a utilização de computador ou rede de computadores.

PENA: reclusão, de um a três anos e multa.

CON – A3 24

INSTITUI P.S.I. EM ÓRGÃOS/ENTIDADES DA ADMINISTRAÇÃO PÚBLICA FEDERAL

• I - elaborar e implementar programas destinados à conscientização e à capacitação

dos recursos humanos que serão utilizados na consecução dos objetivos de que trata

o artigo anterior, visando garantir a adequada articulação entre os órgãos e as

entidades da Administração Pública Federal;

• II - estabelecer programas destinados à formação e ao aprimoramento dos recursos

humanos, com vistas à definição e à implementação de mecanismos capazes de fixar e

fortalecer as equipes de pesquisa e desenvolvimento, especializadas em todos os

campos da segurança da informação;

• III - propor regulamentação sobre matérias afetas à segurança da informação nos

órgãos e nas entidades da Administração Pública Federal;

Decreto 3.505/00

CON – A3 25

• IV - estabelecer normas relativas à implementação da Política Nacional de

Telecomunicações, inclusive sobre os serviços prestados em telecomunicações, para

assegurar, de modo alternativo, a permanente disponibilização dos dados e das

informações de interesse para a defesa nacional;

• V - acompanhar, em âmbito nacional e internacional, a evolução doutrinária e

tecnológica das atividades inerentes à segurança da informação;

• VI - orientar a condução da Política de Segurança da Informação já existente ou a

ser implementada;

Decreto 3.505/00

CON – A3 26

• VII - realizar auditoria nos órgãos e nas entidades da Administração Pública

Federal, envolvidas com a política de segurança da informação, no intuito de aferir o

nível de segurança dos respectivos sistemas de informação;

• VIII - estabelecer normas, padrões, níveis, tipos e demais aspectos relacionados ao

emprego dos produtos que incorporem recursos criptográficos, de modo a assegurar

a confidencialidade, a autenticidade, a integridade e o não-repúdio, assim como a

interoperabilidade entre os Sistemas de Segurança da Informação;

• IX - estabelecer as normas gerais para o uso e a comercialização dos recursos

criptográficos pelos órgãos e pelas entidades da Administração Pública Federal,

dando-se preferência, em princípio, no emprego de tais recursos, a produtos nacionais;

Decreto 3.505/00

CON – A3 27

• X - estabelecer normas, padrões e demais aspectos necessários para assegurar a

confidencialidade dos dados e das informações, em vista da possibilidade de

detecção de emanações eletromagnéticas, inclusive as provenientes de recursos

computacionais;

• XI - estabelecer as normas inerentes à implantação dos instrumentos e mecanismos

necessários à emissão de certificados de conformidade no tocante aos produtos que

incorporem recursos criptográficos;

• XII - desenvolver sistema de classificação de dados e informações, com vistas à

garantia dos níveis de segurança desejados, assim como à normatização do acesso às

informações;

• XIII, XIV...

Decreto 3.505/00

CON – A3 28

SALVAGUARDA DADOS/INFORMAÇÕES VISANDO SEGURANÇA DA SOCIEDADE/ESTADO

(ÂMBITO DA ADMINISTRAÇÃO PÚBLICA/FEDERAL)

• Seção I Da classificação segundo o grau de sigilo / Procedimentos classificação documentos

• Seção II Da reclassificação e da desclassificação (documentação controlada)

• Seção III Da marcação (indicação do grau de sigilo)

• Seção IV Da expedição e da comunicação de documentos sigilosos

• Seção V Do registro, da tramitação e da guarda

• Seção VI Da reprodução

• Seção VII Da avaliação, da preservação e da eliminação

• CAPÍTULO IV Do acesso

• CAPÍTULO V Dos sistemas de informação

• CAPÍTULO VI Das áreas e instalações sigilosas

• CAPÍTULO VII Do material sigiloso

• CAPÍTULO VIII Dos contratos

Decreto 4.553/02

CON – A3 29

INSERÇÃO DE DADOS FALSOS OU MODIFICAÇÃO NÃO AUTORIZADA EM SISTEMAS

• Art. 313-A - Inserir ou facilitar, o funcionário autorizado, a inserção de dados falsos, alterar

ou excluir indevidamente dados corretos nos sistemas informatizados ou bancos de dados

da Administração Pública com o fim de obter vantagem indevida para si ou para outrem ou

para causar dano.

Pena: reclusão, de 2 (dois) a 12 (doze) anos, e multa.

• Art. 313-B - Modificar ou alterar, o funcionário, sistema de informações ou programa de

informática sem autorização ou solicitação de autoridade competente:

Pena: detenção, de 3 (três) meses a 2 (dois) anos, e multa.

Parágrafo único: As penas são aumentadas de um terço até a metade se amodificação

ou alteração resultar dano para a Administração Pública ou para o administrado.

Lei 9.983/00

CON – A3 30

INTERCEPTAÇÃO DE COMUNICAÇÕES TELEFÔNICAS

• Art. 1º

A interceptação de comunicações telefônicas, de qualquer natureza, para prova em

investigação criminal e em instrução processual penal, observará o disposto nesta Lei

e dependerá de ordem do juiz competente da ação principal, sob segredo de justiça.

Parágrafo único: O disposto nesta Lei aplica-se à interceptação do fluxo de

comunicações em sistemas de informática e telemática.

• Art. 10º

Constitui crime realizar interceptação de comunicações telefônicas, de informática ou

telemática, ou quebrar segredo da Justiça, sem autorização judicial ou objetivos não

autorizados em lei.

Lei 9.296/96

CON – A3 31

INFORMATIZAÇÃO DO PROCESSO JUDICIAL

Capítulo I da informatização do processo judicial

§ 1º - Aplica-se o disposto nesta Lei, aos processos civil, penal e trabalhista, bem como aos juizados especiais, em qualquer grau de jurisdição.

Capítulo II da comunicação eletrônica dos atos processuais

§ 1º - O sítio e o conteúdo das publicações de que trata este artigo deverão ser assinados digitalmente com base em certificado emitido por Autoridade Certificadora credenciada.

Capítulo III do processo eletrônico

Art. 9º - No processo eletrônico, todas as citações, intimações e notificações, inclusive da Fazenda Pública, serão feitas por meio eletrônico, na forma desta Lei.

Capítulo IV disposições gerais e finais

Art. 14º - Os sistemas a serem desenvolvidos pelos órgãos do Poder Judiciário deverão usar, preferencialmente, programas com código aberto, priorizando-se a sua padronização.

Lei 11.419/06

CON – A3 32

PROTEÇÃO DE PROPRIEDADE INTELECTUAL DE SOFTWARE E COMERCIALIZAÇÃO

CAPÍTULO I Disposições Prelimiares

CAPÍTULO II Da proteção aos direitos de autor e do registro

CAPÍTULO III Das garantias aos usuários de programa de computador

CAPÍTULO IV Dos contratos de licença de uso, comercialização e transferência

CAPÍTULO V Das infrações e das penalidades

CAPÍTULO VI Disposições finais

Lei 9.609/98

CON – A3 33

CON – A3 34

“Diz-se impropriamente porque hackers seriam pessoas interessadas nas partes mais desconhecidas e profundas de qualquer sistema operativo e em linguagens de computador. Hackers são pessoas que procuram respostas, buscam incansavelmente conhecimento e, principalmente, nunca pretendem causar danos a alguém intencionalmente”, justifica Borlido.

CON – A3 35

CON – A3 36

CON – A3 37

CON – A3 38

Panorama Atual - Impróprios

Fonte: www.truzzi.com.br

CON – A3 39

Panorama Atual

• Esquizofrenia Legislativa; Projetos de Lei, Medidas Provisórias, Resoluções, diversas edições...

• Acordos “não oficiais”; Entidades deveriam ter “obrigações” oficiais e serem responsabilizadas

• Desnecessária criação de novos tipos penais; Velhos crimes, roupagens novas

• Aplicação Legislação vigente, com adaptações; Perfeitamente aplicável para impróprios, pequenas adaptações em próprios

CON – A3 40

Conclusão

Pornografia Infantil, Julgamento STF

“...o meio técnico empregado para realizá-la pode até ser

de invenção posterior à edição da lei penal: a

invenção da pólvora não reclamou redefinição do

homicídio para tornar explícito que nela se

compreendia a morte dada a outrem mediante arma

de fogo”

Sepúlveda Pertence, Ministro Supremo Tribunal Federal

CON – A3 41

Conclusão

Abusos “Liberdade de expressão”, Lei de Imprensa

“Durante promulgação da Lei nº5.250/67, não se cogitava do advento da Internet, que pudesse ser utilizada para a produção e transmissão

mundial de todo tipo de informações. A falta de previsão legal não impede, porém, que sites, dirigidos à atividade jornalística em geral

que publiquem notícias, informações, comentários, críticas etc., sejam equiparados a serviço noticioso e considerados como meios de

informação e de divulgação, para efeito de configuração de eventuais abusos no exercício da liberdade de manifestação do pensamento e

informação, alcançados pelo art. 12 da Lei nº 5.250/67, mediante interpretação extensiva.”

Alexandre Jean Daoun e Gisele Truzzi de Lima

Advogados,especialistas em crimes eletrônicos.

CON – A3 42

Conclusão

Jurisprudência, Leis vigentes & Afins

“Portanto, conclui-se que para o mencionado rol de condutas não há que

se falar na criação de novos tipos penais em razão do fator

tecnológico. Crimes que a tecnologia funciona, repita-se, apenas como

veículo

ou meio para cometimento de condutas claramente definidas na

legislação penal vigente ou seja, hipóteses em que o bem

jurídico aviltado já está devidamente tutelado pela lei.

“O Direito Penal deve ser considerado como último recurso a ser utilizado!”

Sua excessiva aplicação, gera descrédito e ineficiência.

CON – A3 43

Conclusão

Jurisprudência, Leis vigentes & Afins

“Como pudemos observar, boa parte das notícias que envolvem ‘crime’

e ‘tecnologia’ já estão tuteladas pela legislação pátria, afastando

definitivamente, a idéia de que a Internet é território livre e isento de

responsabilidades.

Ao contrário, temos claro que, para o chamado ambiente virtual,

aplica-se toda a legislação em vigor que for pertinente.”

CON – A3 44

Cartoon

CON – A3 45

Exercício

Redação - Crimes Eletrônicos, PLS-89

Objetivo: Explicar se concordam com a redação, justificando a resposta ou propondo nova redação caso contrário.

Art. 154-A - Acessar indevidamente, rede de computadores, dispositivo de comunicação ou

sistema informatizado. Pena: reclusão, de 2 (dois) a 4 (quatro) anos, e multa.

§ 1º Nas mesmas penas incorre quem, indevidamente, permite, facilita ou fornece a terceiro

meio não autorizado de acesso a rede de computadores, dispositivo de comunicação

ou sistema informatizado.

§ 4º Nas mesmas penas incorre, o responsável pelo provedor de acesso à rede de

computadores, dispositivo de comunicação ou sistema informatizado, que permite o

acesso a usuário sem a devida identificação e autenticação ou que deixa de exigir,

como condição de acesso, a necessária, identificação e cadastramento do usuário.

CON – A3 46

Homework

Pesquisar MP 2.200-2/01

! Em função da data da produção do

documento (2008 e não mais atualizado), é

altamente recomendado que seja consultado

as novas publicações e decisões a respeito

do tema, principalmente as relacionadas a

crimes eletrônicos.

CON – A3 47

Agradecimentos

Aos amigos que suportaram dúvidas...

CORNAZZANI SALES ADVOGADOS ASSOCIADOS Gisele Truzzi & Alexandre Daoun

OPICE BLUM – ADVOGADOS ASSOCIADOS Rony Vainzof

OBS: Peço desculpas por “enxugar” alguns trechos das redações & leis.

Avisei os envolvidos sobre minha mutilação, de caráter visual/didático!

CON – A1 48

brazilian legislation - overview

Technology

apple overview

xlg3 overview

energia overview

pmo overview

uma overview

overview pmo

overview solucoes

brazilian agribusiness overview · monteiro aranha...

rap overview

mdgreport overview pt

sim overview

cima - overview

red | overview

consultation with the repository of national legislation

aws overview

overview geral

arduino overview

sap overview solutionmanager

04 - termodinamica overview

aop5911 overview