considerações brasscom aos padrões de auditoria – gt auditoria
TRANSCRIPT
Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação
Rua Funchal 263, cj. 151, Vila Olímpia
São Paulo, SP, CEP 04551-060
Considerações Brasscom aos padrões de auditoria – GT Auditoria Página 1 de 3
São Paulo, 13 de abril de 2015.
Ministério do Planejamento, Orçamento e Gestão - MPOG
Ao Sr. Dyogo Oliveira
Secretário-executivo do Ministério do Planejamento
Assunto: Considerações técnicas Brasscom aos padrões de auditabilidade dos
serviços de tecnologia da informação e comunicação da administração pública federal
Considerações Brasscom aos padrões de auditoria – GT Auditoria
A Brasscom parabeniza o Ministério do Planejamento, Orçamento e Gestão e demais órgãos que
compõem o grupo de trabalho, GT Auditoria, pela iniciativa de dialogar com o setor produtivo na
busca do melhor entendimento para a implementação das diretrizes traçadas pelo Decreto nº
8135/2013.
A Associação entende que o Common Criteria, um padrão de certificação global, é o processo de
certificação que melhor atende às questões centrais de segurança da informação no âmbito da
Administração Pública Federal, tanto em função da sua generalidade e abertura para acomodar
especificidades, quanto do caráter essencialmente descentralizado do ecossistema de entidades
certificadoras e da sua aceitação por diversos países.
O Common Criteria, está baseado na norma ISO 15.408, definido por órgão internacional, ao qual
o Brasil é signatário, e é utilizado em países como França, Alemanha e Índia, dentre outros, como
uma alternativa isenta e aceitável de certificação de soluções de tecnologia da informação e
comunicação a serem contratadas pelos governos.
Na proposta de normas regulamentadoras do e-Ping, ora em debate, verificamos a iniciativa do
Governo Brasileiro de incorporar esse padrão como norteador do processo de auditoria a ser
adotado pelo País. Acreditamos que este é um importante ponto de convergência com o setor
produtivo e neste momento, se faz necessário encaminharmos a operacionalização do Common
Criteria, visando atender o processo de homologação e auditabilidade de softwares.
Notamos, que no documento em avaliação, disponibilizado em consulta pública, houve o enfoque
apenas na incorporação das partes 2 e 3 do Catálogo das Funções de Segurança do padrão ISO
15.408-2, o que poderá levar a uma implementação distorcida e incompleta do padrão ora em
vigor.
É louvável a utilização deste Catálogo como base; porém, é preciso esclarecer que a reescrita de
um padrão em um documento de especificações técnicas não é aconselhável, uma vez que os
padrões relacionados a tecnologia da informação e comunicação são, em muitos casos,
Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação
Rua Funchal 263, cj. 151, Vila Olímpia
São Paulo, SP, CEP 04551-060
Considerações Brasscom aos padrões de auditoria – GT Auditoria Página 2 de 3
dinâmicos, sendo objeto de atualizações em face a novos desenvolvimentos e requisitos, o que
pode levar a norma nacional a tornar-se ultrapassada e inconsistente.
Visando atender os requisitos de auditabilidade de software propostos, faz-se necessária a
incorporação, da forma estruturada nas especificações do Common Criteria, dos documentos
denominados “Protection Profile” que venham a ser elaborados pelo órgão do Governo Federal
em busca da contratação de uma determinada solução de tecnologia da informação e
comunicação. Este documento trata de aspectos técnicos das soluções a serem adquiridas por
qualquer órgão da administração pública federal, incluindo também cenários de uso e questões
organizacionais das agências contratantes, livre de qualquer vínculo com agências
governamentais de outras jurisdições, ou seja, plenamente adaptável às necessidades específicas
do contratante.
Dessa forma, sugerimos:
(i) Avaliação da necessidade dos documentos adicionais (requisitos de infraestrutura para
ambientes de correio eletrônico; VoIP; e transferências de arquivos) e;
(ii) Avaliação da incorporação destes nas sessões de definições de arquitetura do Protection
Profile, quando vierem a ser elaborados, caso a caso.
Ao incorporar as especificações do Common Criteria na confecção de seus próprios Protection
Profiles (conforme as necessidades específicas de cada agência contratante de soluções de TIC),
um laboratório de testes poderá ser escolhido para emitir o certificado da solução. Os laboratórios
reconhecidos pelo Comitê do Common Criteria (CCRA) são validados, ou homologados, por um
“certification scheme”, que é o ente responsável por garantir que as avaliações executadas, para
determinado produto, em um cenário de uso específico, sejam realizadas de acordo com a
metodologia de testes do Common Criteria. O “certification scheme” é, portanto, a autoridade
responsável, em cada país, para emitir os certificados do Common Criteria, de maneira a confirmar
a idoneidade do trabalho realizado pelo laboratório escolhido, sem interferência na certificação
realizada.
Como exemplo, nos Estados Unidos, o “certification scheme” é o “National Information Assurance
Partnership” – uma aliança entre a NSA e o NIST. No caso alemão, é o Bundesamt für Sicherheit
in der Informationstechnik (Serviço Federal de Segurança em Tecnologia da Informação,
tradução livre). No Brasil, um possível “certification scheme” seria o ITI - Instituto Nacional de
Tecnologia da Informação, órgão ligado à Casa Civil da Presidência da República, já afeto a
processos de certificação, ou outra agência de natureza similar.
Ressaltamos que a adoção e incorporação de padrões internacionais de auditabilidade e
certificação não apenas atende às necessidades nacionais de segurança como também possibilita
maior competitividade da indústria brasileira de software no mercado global, uma vez que a
certificação emitida nacionalmente, segundo os padrões do Common Criteria, poderá ser
aproveitada em outros mercados em que tais empresas venham a atuar.
Além disso, em prol da economicidade e eficiência do sistema de certificação a característica de
dualidade é necessária, ou seja, utilizada tanto para o mundo civil como para o militar,
Brasscom - Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação
Rua Funchal 263, cj. 151, Vila Olímpia
São Paulo, SP, CEP 04551-060
Considerações Brasscom aos padrões de auditoria – GT Auditoria Página 3 de 3
potencializando assim que um maior número de empresas oferte seus produtos para estes dois
mercados, melhorando por conseguinte o ambiente competitivo.
Para tanto, reafirmamos a nossa disponibilidade de colaboração e desenvolvimento conjunto e
propomos a realização de um encontro, na melhor conveniência, a fim de aprofundarmos os itens
expostos neste documento, assim como um entendimento do real significado do Common
Criteria para as necessidades do Governo Federal e de como podemos aproveitar toda a sua
potencialidade.
Por fim, apreciamos a forma com como este Ministério vem conduzindo os diálogos com o setor
produtivo. Nossa percepção é de que estamos realmente escrevendo em conjunto, indústria e
governo, um importante capítulo na estratégia de segurança da informação e comunicação no
Brasil.
Sérgio Sgobbi
Diretor de Relações Institucionais