motivação - lncclrodrigo.sgs.lncc.br/wp/wp-content/uploads/2015/10/ucp... · 2016-01-22 · •...

LRodrigo - lrodrigo(at) lrodrigo (dot) com (dot) br - http://www.lrodrigo.com.br - Segurança da Informação - Setembro/Novembro de 2015

Legislação e Normas de Segurança da InformaçãoPetrópolis, Setembro e Novembro de 2015

Luís Rodrigo de O. GonçalvesE-mail: [email protected]: http://www.lrodrigo.lncc.br

1

Uma visão geral da legislação nacional e das normas relacionadas à segurança da informação no Brasil e no Mundo


Motivação

“O ser humano sempre se preocupou com a sua segurança e de seus bens, isto faz parte de nossos instintos.”

2

“Atualmente, o maior bem que a humanidade possui são as informações e conhecimentos gerados por ela.”


DSIC-GSI/PR

Departamento de Segurança da Informação e Comunicação (DSIC)

do Gabinete de Segurança Institucional da Presidência da República (GSIPR)

3


Tópicos:

• Departamento de SIC - GSI/PR – Visão Geral – Metas – Coordenações – Legislações de SIC – Publicações – Artigos

4


DSIC do GSI/PR

Uma Visão geral

5


DSIC do GSI/PRUma Visão Geral

O Departamento de Segurança da Informação e Comunicação (DSIC) do Gabinete de Segurança Institucional da Presidência da República (GSI/PR) foi funda do em 2006

O desafio inicial foi Estudar e Desenvolver as práticas de Segurança da Informação e Comunicação (SIC) e da

Segurança Cibernética (SegCiber) na Administração Pública Federal (APF)

6



No primeiro semestre de 2015 o DSIC - GSI/PR homologou a “Estratégia de Segurança da Informação e Comunicação e de Segurança Cibernética da Administração Pública Federal 2015/2018”

Este documento é o desdobramento da primeira Instrução Normativa publicada pelo DSIC em 2008 à “IN

No. 01 DISI/GSI/PR/2008”, que apresentava as diretrizes para o planejamento da segurança.

7



Além a IN GSI No. 1, o DSIC já publicou:

• + de 21 normas complementares (NC) à IN01

• IN No. 02 DSIC/GSI/PR/2013 – Trata do credenciamento de segurança para o tratamento de

informações classificadas

• IN No. 03 DSIC/GSI/PR/2013 – Apresenta os parâmetros e padrões para recursos

criptográficos baseados em algoritmos de Estado

8



O Centro de Tratamento de Incidentes de Segurança em Redes de Computadores para APF (CTIR Gov) tem atuado nacional e internacionalmente

O GSI/PR atua como Autoridade Nacional de Segurança e vem trabalhando por intermédio do Núcleo

de Segurança e Credenciamento (NSC/DSIC) em parceria com o Ministério de Relações Exteriores

(MRE) na assinatura de vários acordos internacionais.

9


DSIC do GSI/PR

Missão e Coordenações

10


DSIC do GSI/PRMissão Missão do DSIC

• Coordenar a execução de ações de SIC;

• Definir requisitos metodológicos para implementação de ações de SIC;

• Operacionalizar e manter Centro de Tratamento e Resposta a Incidentes ocorridos nas redes da APF;

• Avaliar tratados, acordos ou atos internacionais relacionados à SIC;

11


DSIC do GSI/PRMissão Missão do DSIC

• Coordenar as atividades relacionadas à segurança e ao credenciamento de pessoas e de empresas no trato de assuntos e documentos sigilosos;

• exercer atribuições delegadas pelo Secretário-Executivo.

Artigo 6º do Decreto Nº 8.100, de 4 de setembro de 2013

12


DSIC do GSI/PR

Coordenações

13


DSIC do GSI/PRCoordenações

Núcleo de Segurança e Credenciamento - NSC Coordenação-Geral do Sistema de Seg. e Credenciamento (CSSC)

• A coordenação foi criada em 2016 pelo Art. 8º do Decreto Nº 5.772/06

• E o núcleo foi criado e associado a coordenação em novembro de 2011 pela Lei Nº 12.527/11

• O Núcleo funciona como o órgão central de credenciamento de segurança

14



Compete ao NSC: – Habilitar os Órgãos de Registro Nível 1 para:

• credenciamento de segurança de órgãos e entidades públicas ou privadas,

• de pessoas que com ele mantenham vínculo, para o tratamento de informação classificada;

– Habilitar Postos de Controle dos Órgãos de Registro nível 1 para o armazenamento de informação classificada em qualquer grau de sigilo;

– Habilitar entidade privada que mantenha vínculo de qualquer natureza com o GSI/PR para o tratamento de informação classificada;

15



Compete ao NSC:

– Credenciar pessoa que mantenha vínculo com o GSI/PR para o tratamento de informação classificada;

– Realizar inspeção e investigação para Credenciamento de Segurança;

– Fiscalizar o cumprimento das normas e procedimentos de credenciamento de segurança e tratamento de informação classificada;

16



Compete ao NSC: – Assessorar o GSI/PR

– nas negociações de tratados, acordos ou atos internacionais relacionados com a troca de informações classificadas;

– nos assuntos relacionados com o credenciamento de segurança – de órgãos e entidades públicas ou privadas – e pessoas, para o tratamento de informação classificada;

– Assessorar o GSI/PR em tratados, acordos ou atos internacionais, envolvendo Ministério das Relações Exteriores (MRE);

– Acompanhar averiguações e processos de avaliação e recuperação dos danos decorrentes de quebra de segurança;

17



Compete ao NSC: – Informar sobre eventuais danos ao país ou à organização

internacional de origem, sempre que necessário, pela via diplomática;

– Prover, os Órgãos de Registro e Posto de Controle, apoio na implantação e desenvolvimento das atividades de Credenciamento de Segurança;

– Quando ao tratamento de informações sigilosas; regulamentar o processo de credenciamento de:

– pessoas físicas, – empresas, – órgãos e – entidades

18



A Coordenação Geral de Gestão da SIC (CGGSIC)

– Planeja e coordena a gestão da SIC na Administração Pública Federal;

– Orienta a implementação dos requisitos metodológicos da SIC nos órgãos e entidades da APF;

– Difundi e promove o cumprimento da Política de Segurança nos órgãos e entidades da APF;

– Coordena os programas destinados à conscientização e à capacitação em segurança da informação e comunicações;

19



CTIR Gov - Centro de Tratamento de Incidentes de Segurança de Redes de Computadores da APF

• Subordinado ao DSIC - GSI/PR.

• Realiza o atendimento aos incidentes em redes de computadores da APF.

• Comunicação de Ocorrência de Incidentes de Redes deve: • ocorrer de forma centralizada, • por meio de conta de e-mail institucional

([email protected].) • constar no assunto da notificação o “nome do órgão” e o “tipo do

incidente”.

20


DSIC do GSI/PR

Publicações do DSIC

21


DSIC do GSI/PRLegislações - Publicações

• Livro Verde - Segurança Cibernética no Brasil http://dsic.planalto.gov.br/documentos/publicacoes/1_Livro_Verde_SEG_CIBER.pdf

• Guia de Referência para a Segurança das Infraestruturas Críticas da Informação - Versão 01 – Nov./2010

http://dsic.planalto.gov.br/documentos/publicacoes/2_Guia_SICI.pdf

• Gestão da Segurança da Informação e Comunicações http://dsic.planalto.gov.br/documentos/publicacoes/3_Livro_GSIC_UNB.pdf

22


DSIC do GSI/PRLegislações - Publicações

• Estratégica de Segurança da Informação e Comunicações e de Segurança Cibernética da Administração Pública Federal

http://dsic.planalto.gov.br/documentos/publicacoes/4_Estrategia_de_SIC.pdf

• Coletânea de Legislação Relacionada ao Credenciamento de Segurança e ao Tratamento da Informação Classificada na Administração Pública Federal - V2.0

http://dsic.planalto.gov.br/documentos/NSC/coletanea_legis_NSC.pdf

23


DSIC do GSI/PR

Legislação - SIC

24


DSIC do GSI/PRLegislações

Instruções Normativas – IN Nº 01 GSI/PR/2008 - Segurança da Informação e Comunicações – IN Nº 02 GSI/PR/2013 - Credenciamento de Segurança – IN Nº 03 GSI/PR/2013

25



IN Nº 01 GSI/PR/2008 - Segurança da Informação e Comunicações

Disciplina a Gestão de Segurança da Informação e Comunicações na Administração Pública Federal, direta e indireta, e dá outras providências.Art. 2o Para fins desta Instrução Normativa, entende-se por:

I - Política de Segurança da Informação e Comunicações: documento aprovado pela autoridade responsável pelo órgão ou entidade da Administração Pública Federal, direta e indireta, com o objetivo de fornecer diretrizes, critérios e suporte administrativo suficientes à implementação da segurança da informação e comunicações;

II - Segurança da Informação e Comunicações: ações que objetivam viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações;

26



III - disponibilidade: propriedade de que a informação esteja acessível e utilizável sob demanda por uma pessoa física ou determinado sistema, órgão ou entidade;

IV - integridade: propriedade de que a informação não foi modificada ou destruída de maneira não autorizada ou acidental;

V - confidencialidade: propriedade de que a informação não esteja disponível ou revelada a pessoa física, sistema, órgão ou entidade não autorizado e credenciado;

VI - autenticidade: propriedade de que a informação foi produzida, expedida, modificada ou destruída por uma determinada pessoa física, ou por um determinado sistema, órgão ou entidade;

VII - Gestão de Segurança da Informação e Comunicações: ações e métodos que visam à integração das atividades de gestão de riscos, gestão de continuidade do negócio, tratamento de incidentes, tratamento da informação, conformidade, credenciamento, segurança cibernética, segurança física, segurança lógica, segurança orgânica e segurança organizacional aos processos institucionais estratégicos, operacionais e táticos, não se limitando, portanto, à tecnologia da informação e comunicações;

27



Art. 3o Ao Gabinete de Segurança Institucional da Presidência da República - GSI, por intermédio do Departamento de Segurança da Informação e Comunicações - DSIC, compete:

I - planejar e coordenar as atividades de segurança da informação e comunicações na Administração Pública Federal, direta e indireta;

II - estabelecer normas definindo os requisitos metodológicos para implementação da Gestão de Segurança da Informação e Comunicações pelos órgãos e entidades da Administração Pública Federal, direta e indireta;

III - operacionalizar e manter centro de tratamento e resposta a incidentes ocorridos nas redes de computadores da Administração Pública Federal, direta e indireta, denominado CTIR.GOV;

IV - elaborar e implementar programas destinados à conscientização e à capacitação dos recursos humanos em segurança da informação e comunicações;

V - orientar a condução da Política de Segurança da Informação e Comunicações na Administração Pública Federal, direta e indireta;

VI - receber e consolidar os resultados dos trabalhos de auditoria de Gestão de Segurança da Informação e Comunicações da Administração Pública Federal, direta e indireta;

VII - propor programa orçamentário específico para as ações de segurança da informação e comunicações.

28



Art. 4o Ao Comitê Gestor de Segurança da Informação compete:

I - assessorar o GSI no aperfeiçoamento da Gestão de Segurança da Informação e Comunicações da Administração Pública Federal, direta e indireta;

II - instituir grupos de trabalho para tratar de temas específicos relacionados à segurança da informação e comunicações.

29



Art. 5o Aos demais órgãos e entidades da Administração Pública Federal, direta e indireta, em seu âmbito de atuação, compete:

I - coordenar as ações de segurança da informação e comunicações;

II - aplicar as ações corretivas e disciplinares cabíveis nos casos de quebra de segurança;

III - propor programa orçamentário específico para as ações de segurança da informação e comunicações;

IV - nomear Gestor de Segurança da Informação e Comunicações;

V - instituir e implementar equipe de tratamento e resposta a incidentes em redes computacionais;

VI - instituir Comitê de Segurança da Informação e Comunicações;

VII - aprovar Política de Segurança da Informação e Comunicações e demais normas de segurança da informação e comunicações;

VIII - remeter os resultados consolidados dos trabalhos de auditoria de Gestão de Segurança da Informação e Comunicações para o GSI.

30



IN Nº 02 GSI/PR/2013 - Credenciamento de segurança

Dispõe sobre o Credenciamento de segurança para o tratamento de informação classificada, em qualquer grau de sigilo, no âmbito do Poder

Executivo Federal

Art. 1o Normatizar os procedimentos do Núcleo de Segurança e Credenciamento - NSC do GSI/PR e expedir diretrizes a serem adotadas pelos órgãos e entidades no âmbito do Poder Executivo Federal, para o Credenciamento de Segurança e o tratamento de informação classificada, em conformidade com os Artigos 36 e 37 da Lei no 12.527, de 2011, Decreto 7.724, de 2012 e Decreto 7.845, de 2012.

31



Art. 3o Compete ao Núcleo de Segurança e Credenciamento - NSC, órgão central de credenciamento de segurança, instituído no âmbito do Gabinete de Segurança Institucional da Presidência da República:

I - habilitar os Órgãos de Registro nível 1 para o Credenciamento de Segurança de órgãos e entidades públicas ou privadas, e de pessoas que com ele mantenham vínculo de qualquer natureza, para o tratamento de informação classificada;

II - habilitar Postos de Controle dos Órgãos de Registro nível 1 para o armazenamento de informação classificada em qualquer grau de sigilo;

III - habilitar entidade privada que mantenha vínculo de qualquer natureza com o GSI/PR para o tratamento de informação classificada;

IV - credenciar pessoa que mantenha vínculo de qualquer natureza com o GSI/PR para o tratamento de informação classificada;

V - realizar inspeção e investigação para Credenciamento de Segurança necessária à execução do previsto nos incisos III e IV, respectivamente;

VI - fiscalizar o cumprimento das normas e procedimentos de credenciamento de segurança e tratamento de informação classificada;

32



X - acompanhar averiguações e processos de avaliação e recuperação dos danos decorrentes de quebra de segurança e informar sobre eventuais danos ao país ou à organização internacional de origem, sempre que necessário, pela via diplomática;

XI - prover apoio técnico aos Órgãos de Registro e Posto de Controle, no âmbito do Poder Executivo federal, para a implantação dos mesmos e pleno desenvolvimento das atividades de Credenciamento de Segurança; e,

XII - promover e propor regulamentação de credenciamento de segurança de pessoas físicas, empresas, órgãos e entidades para tratamento de informações sigilosas.

33



Art. 4o Compete ao Órgão de Registro nível 1:

I - habilitar Órgão de Registro nível 2 para credenciar pessoa para o tratamento de informação classificada;

II - habilitar Posto de Controle dos órgãos e entidades públicas ou privadas que com ele mantenham vínculo de qualquer natureza, para o armazenamento de informação classificada em qualquer grau de sigilo;

III - credenciar pessoa natural que com ele mantenha vínculo de qualquer natureza para o tratamento de informação classificada;

IV- realizar a inspeção e investigação para credenciamento de segurança necessárias à execução do previsto no inciso III do caput; e

V - fiscalizar o cumprimento das normas e procedimentos de credenciamento de segurança e tratamento de informação classificada, no âmbito de suas competências;

34



VI - encaminhar periodicamente ao Núcleo de Segurança e Credenciamento, relatórios sobre suas atividades de credenciamento e seu funcionamento, bem como daqueles por ele credenciados;

VII- notificar o Núcleo de Segurança e Credenciamento, imediatamente, quando da quebra de segurança das informações classificadas do próprio e daqueles Órgãos de Registro nível 2 e Postos de Controle por ele crede

35



Art. 5o Compete ao Órgão de Registro nível 2:

I - realizar investigações para credenciamento e conceder as credenciais segurança apenas às pessoas naturais a eles vinculadas;

II - encaminhar periodicamente relatórios de atividades ao Órgão de Registro nível 1 que o credenciou;

III - notificar o Órgão de Registro que o credenciou, imediatamente, quando da quebra de segurança das informações classificadas;

36



Art. 6 o Compete ao Posto de Controle:

I - armazenar e controlar as informações classificadas, inclusive as credenciais de segurança, sob sua responsabilidade;

II - manter a segurança lógica e física das informações classificadas, sob sua guarda;

IV - encaminhar, periodicamente, ao Órgão de Registro que o credenciou relatórios de suas atividades;

V - notificar o Órgão de Registro que o credenciou, imediatamente, quando da quebra de segurança das informações classificadas por ele custodiadas;

37



Art. 8o A Credencial de Segurança, emitida pelo NSC e pelos Órgãos de Registro de nível 1 e 2, é considerada material de acesso restrito, sendo pessoal e intransferível, e com validade explícita na mesma.

Art. 13 Os Órgãos de Registro poderão firmar ajustes, convênios ou termos de cooperação com outros órgãos ou entidades públicas habilitados, para fins de Credenciamento de Segurança, tratamento de informação classificada e realização de inspeção para habilitação ou investigação para Credenciamento de Segurança, observada a legislação vigente.

Art. 15 As áreas e instalações que contenham documento com informação classificada em qualquer grau de sigilo, ou que, por sua utilização ou finalidade, demandarem proteção, terão seu acesso restrito às pessoas autorizadas pelo órgão ou entidade.

Parágrafo único. As áreas ou instalações do Posto de Controle de cada órgão de registro e de entidades privadas são consideradas de acesso restrito.

Art. 16 Órgão ou entidade da iniciativa privada somente poderá ser habilitado como Posto de Controle, mediante solicitação ao Órgão de Registro nível 1 com o qual possuir vínculo de qualquer natureza.

38



IN Nº 03 GSI/PR/2013 - Segurança da Informação e Comunicações

Dispõe sobre os parâmetros e padrões mínimos dos recursos criptográficos baseados em algoritmos de Estado para criptografia da informação classificada no âmbito do Poder Executivo Federal.

Art. 1o Estabelecer, no âmbito do Poder Executivo Federal, os parâmetros e padrões mínimos para recursos criptográficos baseados em algoritmos de Estado, que deverão ser implementados, pelos órgãos e entidades, na criptografia da informação classificada, em qualquer grau de sigilo.

39



Art. 3o A Alta Administração dos órgãos e entidades do Poder Executivo Federal, sob pena de responsabilidade, deverá, no âmbito de sua competência, assegurar a implementação e utilização dos parâmetros e padrões mínimos dos recursos criptográficos baseados em algoritmos de Estado, para criptografia da informação classificada, em qualquer grau de sigilo;

Parágrafo único. O Gestor de Segurança da Informação e Comunicações e todo Agente Responsável, usuários de recurso criptográfico baseado em algoritmo de Estado, devem seguir o disposto nesta Instrução Normativa e na legislação vigente, sob pena de responsabilidade.

Art. 5o O recurso criptográfico baseado em algoritmo de Estado deverá ser de desenvolvimento próprio ou por órgãos e entidades do Poder Executivo Federal, mediante acordo ou termo de cooperação, vedada a participação e contratação de empresas e profissionais externos, para tal finalidade.

40



Art. 6o À Alta Administração dos órgãos e entidades do Poder Executivo Federal compete:

III - adequar os recursos criptográficos, já em uso, às determinações desta Instrução Normativa, e conforme legislação vigente;

IV - prever explicitamente nos entendimentos, contratos, termos ou acordos de aquisição e manutenção de equipamentos, dispositivos móveis, sistemas, aplicativos ou serviços que disporão de recurso criptográfico baseado em algoritmo de Estado, o fiel cumprimento do disposto na presente Instrução Normativa, sem prejuízo da legislação vigente;

VI - informar ao GSI/PR, tempestivamente, o comprometimento do sigilo de qualquer recurso criptográfico baseado em algoritmo de Estado;

VII - capacitar os Agentes Responsáveis para o uso dos recursos criptográficos, observando as normas vigentes, os procedimentos de credenciamento de segurança, e o tratamento de informação classificada; e

VIII - prever recurso orçamentário para o uso de recursos criptográficos baseados em algoritmos de Estado, conforme necessidade de cada órgão ou entidade.

41



Art. 9o Todo recurso criptográfico baseado em algoritmo de Estado constitui material de acesso restrito e requer procedimentos especiais adequados de controle para o seu acesso, manutenção, armazenamento, transferência, trânsito e descarte, em conformidade com a legislação vigente, sob pena de responsabilização da Alta Administração.

Parágrafo único. O Gestor de Segurança da Informação e Comunicações e todo Agente Responsável, usuários de recurso criptográfico baseado em algoritmo de Estado, devem possuir credencial de segurança, ou excepcionalmente, assinar o Termo de Compromisso de Manutenção de Sigilo - TCMS, conforme Anexo I do Decreto n o 7.845, de 14 de novembro de 2012.

42



• Leis • Decretos • Portarias • Normas Complementares à

– IN Nº 01 GSI/PR/2008 - Segurança da Informação e Comunicações

– IN Nº 02 GSI/PR/2013 - Credenciamento de Segurança – IN Nº 03 GSI/PR/2013

• Legislação Específica Relacionada à Segurança da Informação • Legislação Relacionada à Lei de Acesso à Informação

43


DSIC do GSI/PRLegislações - Leis

Lei 12.527, de 18 de novembro de 2011

– Regula o acesso a informações Assegurar o direito fundamental de acesso à informação que deve ser executado em

conformidade com os princípios básicos da administração pública e com as seguintes diretrizes:

I - observância da publicidade como preceito geral e do sigilo como exceção;

II - divulgação de informações de interesse público, independentemente de solicitações;

III - utilização de meios de comunicação viabilizados pela tecnologia da informação;

IV - fomento ao desenvolvimento da cultura de transparência na administração pública;

V - desenvolvimento do controle social da administração pública.

http://www.planalto.gov.br/ccivil_03/_Ato2011-2014/2011/Lei/L12527.htm

44



… controlar o acesso e a divulgação de informações sigilosas produzidas por seus órgãos e entidades, assegurando a sua proteção.

§ 1o O acesso, a divulgação e o tratamento de informação classificada como sigilosa ficarão restritos a pessoas que tenham necessidade de conhecê-la e que sejam devidamente credenciadas na forma do regulamento, sem prejuízo das atribuições dos agentes públicos autorizados por lei.

§ 2o O acesso à informação classificada como sigilosa cria a obrigação para aquele que a obteve de resguardar o sigilo.

§ 3o Regulamento disporá sobre procedimentos e medidas a serem adotados para o tratamento de informação sigilosa, de modo a protegê-la contra perda, alteração indevida, acesso, transmissão e divulgação não autorizados.

45



… controlar o acesso e a divulgação de informações sigilosas produzidas por seus órgãos e entidades, assegurando a sua proteção.

– Parágrafo único. A pessoa física ou entidade privada que, em razão de qualquer vínculo com o poder público, executar atividades de tratamento de informações sigilosas adotará as providências necessárias para que seus empregados, prepostos ou representantes observem as medidas e procedimentos de segurança das informações resultantes da aplicação desta Lei.

46


DSIC do GSI/PRLegislações - Decretos

Decreto Nº 3.505, de 13 de junho de 2000. • Institui a Política de Segurança da Informação nos órgãos e

entidades da Administração Pública Federal. www.planalto.gov.br/ccivil_03/decreto/D3505.htm

Art. 3o São objetivos da Política da Informação:

– I - dotar os órgãos e as entidades da Administração Pública Federal de instrumentos jurídicos, normativos e organizacionais que os capacitem científica, tecnológica e administrativamente a assegurar a confidencialidade, a integridade, a autenticidade, o não-repúdio e a disponibilidade dos dados e das informações tratadas, classificadas e sensíveis;

– II - eliminar a dependência externa em relação a sistemas, equipamentos, dispositivos e atividades vinculadas à segurança dos sistemas de informação;

– III - promover a capacitação de recursos humanos para o desenvolvimento de competência científico-tecnológica em segurança da informação;

47



IV - estabelecer normas jurídicas necessárias à efetiva implementação da segurança da informação;

V - promover as ações necessárias à implementação e manutenção da segurança da informação;

VI - promover o intercâmbio científico-tecnológico entre os órgãos e as entidades da Administração Pública Federal e as instituições públicas e privadas, sobre as atividades de segurança da informação;

VII - promover a capacitação industrial do País com vistas à sua autonomia no desenvolvimento e na fabricação de produtos que incorporem recursos criptográficos, assim como estimular o setor produtivo a participar competitivamente do mercado de bens e de serviços relacionados com a segurança da informação; e

VIII - assegurar a interoperabilidade entre os sistemas de segurança da informação.

48



Decreto Nº 7.724, de 16 de maio de 2012 – Regulamenta a Lei nº 12.527, de 18 de novembro de 2011, que

dispõe sobre o acesso a informações previsto no inciso XXXIII do caput do art 5º, no inciso II do § 3º do art. 37 e no § do art. 216 da Constituição.

www.planalto.gov.br/ccivil_03/_Ato2011-2014/2012/Decreto/D7724.htm

49



Decreto Nº 7.845, de 14 de novembro de 2012 – Regulamenta os procedimentos para credenciamento de

segurança e tratamento de informação classificada em qualquer grau de sigilo, e dispõe sobre o Núcleo de Segurança e Credenciamento.

www.planalto.gov.br/ccivil_03/_Ato2011-2014/2012/Decreto/D7845.htm

– I - algoritmo de Estado - função matemática utilizada na cifração e na decifração, desenvolvido pelo Estado, para uso exclusivo em interesse do serviço de órgãos ou entidades do Poder Executivo federal; – VII - credenciamento de segurança - processo utilizado para

habilitar órgão ou entidade pública ou privada, e para credenciar pessoa para o tratamento de informação classificada;

50



– XIII - órgão de registro nível 1 - ministério ou órgão de nível equivalente habilitado pelo Núcleo de Segurança e Credenciamento;

– XIV - órgão de registro nível 2 - órgão ou entidade pública vinculada a órgão de registro nível 1 e por este habilitado;

– XV - posto de controle - unidade de órgão ou entidade p ú b l i c a o u p r i v a d a , h a b i l i t a d a , r e s p o n s á v e l p e l o armazenamento de informação classificada em qualquer grau de sigilo;

51



Art. 38. No tratamento da informação classificada deverão ser utilizados sistemas de informação e canais de comunicação seguros que atendam aos padrões mínimos de qualidade e segurança definidos pelo Poder Executivo federal.

– § 1o A transmissão de informação classificada em qualquer grau de sigilo por meio de sistemas de informação deverá ser realizada, no âmbito da rede corporativa, por meio de canal seguro, como forma de mitigar o risco de quebra de segurança.

– § 2º A autenticidade da identidade do usuário da rede deverá ser garantida, no mínimo, pelo uso de certificado digital.

52



– § 3º Os sistemas de informação de que trata o caput deverão ter níveis diversos de controle de acesso e utilizar recursos criptográficos adequados aos graus de sigilo.

– § 4o Os sistemas de informação de que trata o caput deverão manter controle e registro dos acessos autorizados e não-autorizados e das transações realizadas por prazo igual ou superior ao de restrição de acesso à informação.

53



• Portaria Nº 25 - CDN, de 26 de agosto de 2015 – Aprova o Regimento Interno do Comitê Gestor de Segurança da

Informação (CGSI). http://pesquisa.in.gov.br/imprensa/jsp/visualiza/index.jsp?jornal=1&pagina=10&data=27/08/2015

Art. 2o Ao CGSI compete: • I - assessorar a Secretaria Executiva do Conselho de

Defesa Nacional nas ações previstas nos Art. 4o e Art. 6o do Decreto no 3 .505, de 13 de junho de 2000, e no aperfeiçoamento da Gestão de Segurança da Informação nos órgãos e nas entidades da Administração Pública Federal, em especial nos assuntos relacionados à segurança da informação e comunicações, à segurança cibernética e à segurança das infraestruturas críticas da informação;

54



• Portaria Nº 20 - CDN, de 25 de junho de 2015 – Institui no âmbito do Comitê Gestor de Segurança da

Informação - CGSI, 2 (dois) Grupos de Trabalho.

55


DSIC do GSI/PRLegislações - Decretos• Portaria Nº 14 - CDN, de 11 de maio de 2015

– Homologa a "Estratégia de Segurança da Informação e Comunicações e de Segurança Cibernética da Administração Pública Federal - 2015/2018, versão 1.0", desdobramento da Instrução Normativa GSI/PR nº 01/2008.

http://pesquisa.in.gov.br/imprensa/jsp/visualiza/index.jsp?jornal=1&pagina=4&data=12/05/2015

– Art. 1o Fica homologada a "Estratégia de Segurança da Informação e Comunicações e de Segurança Cibernética da Administração Pública Federal - 2015/2018, versão 1.0", desdobramento da Instrução Normativa GSI/PR no 01/2008 e instrumento de apoio ao planejamento, coordenada e integrada pelo Gabinete de Segurança Institucional da Presidência da República - GSI/PR.

– Art. 2o …. tem a finalidade de apresentar as diretrizes estratégicas para o planejamento de segurança da informação e comunicações e de segurança cibernética no âmbito dos órgãos e entidades da APF, objetivando a articulação e a coordenação de esforços dos diversos atores envolvidos, de forma a atingir o aprimoramento das áreas no Governo e a mitigação dos riscos aos quais estão expostas as instituições, a sociedade e o Estado.

56



Portaria Nº 49 - CDN, de 12 de dezembro de 2014 – Homologa a 1a Revisão da NC20/IN01/DSIC/GSI - Estabelece as Diretrizes

de Segurança da Informação e Comunicações para Instituição do Processo de Tratamento da Informação nos órgãos e entidades da Administração Pública Federal (APF), direta e indireta.

– Ciclo de vida da informação: ciclo formado pelas fases da Produção e Recepção; Organização; Uso e Disseminação; e Destinação.

– 4.3 O tratamento da informação deve ser feito conforme atos normativos de SIC, assegurando-se os requisitos da disponibilidade, da integridade, da confidencialidade e da autenticidade da informação em todo seu ciclo de vida.

– 4.6 As medidas e os procedimentos relacionados ao tratamento da informação a ser realizado com apoio de empresa terceirizada, em qualquer fase do ciclo de vida da informação, devem ser estabelecidos contratualmente para que se assegure o cumprimento das diretrizes previstas nesta Norma, bem como em legislações vigentes.

57



4.7 Os órgãos e entidades da APF devem promover ações para conscientização dos agentes públicos visando à disseminação das diretrizes de tratamento da informação.

4.8 Os órgãos e entidades da APF devem identificar o proprietário e o custodiante da informação.

4.9 O proprietário da informação deve assumir, no mínimo, as seguintes atividades:

a) descrever a informação;

b) definir as exigências de SIC da informação;

c) comunicar as exigências de SIC da informação a todos os custodiantes e usuários;

d) buscar assegurar o cumprimento das exigências de SIC por meio de monitoramento; e

e) indicar os riscos que podem afetar a informação.

58



4.10 O custodiante da informação deve aplicar os níveis de controles de segurança conforme as exigências de SIC, comunicadas pelo proprietário da informação, de forma a assegurar a disponibilidade, integridade, confidencialidade e autenticidade da informação.

6.1.8 Quando a produção, recepção e custódia de informação sigilosa classificada, em qualquer grau de sigilo, exigir impressão em tipografias, impressoras, oficinas gráficas ou similares, a operação deve ser acompanhada por pessoa credenciada, ou excepcionalmente, que tenha assinado o Termo de Compromisso de Manutenção de Sigilo (TCMS).

6.1.13 A informação classificada deve ser produzida e custodiada utilizando criptografia baseada em algoritmo de Estado compatível com o grau de sigilo, conforme padrões mínimos estabelecidos na NC 09 DSIC/GSI/PR.

59



6.2.4 Devem ser mantidos controles sobre cópias de segurança da informação, zelando por seu adequado armazenamento e garantindo sua rastreabilidade e restauração.

6.2.6 A informação classificada em grau de sigilo deve ser armazenada utilizando criptografia compatível conforme padrões mínimos para recurso criptográfico baseado em algoritmo de Estado estabelecido na NC 09 DSIC/GSI/PR.

6.3.6 Recomenda-se que os recursos de Tecnologia da Informação e Comunicação (TIC) franqueados ao público estejam isolados da rede corporativa.

6.3.7 A concessão de acessos lógicos e físicos ou o uso de informação institucional em dispositivos móveis corporativos e particulares devem observar a legislação de SIC vigente.

6.3.8 Recomenda-se regulamentação interna para o uso de impressoras e copiadoras, definindo as diretrizes para a impressão/cópia de documentos que contenham informação sigilosa e pessoal.

60



6.3.9 Recomenda-se a realização periódica de testes de restauração da informação contida nas mídias de cópias de segurança, a fim de garantir a utilização quando da ocorrência de incidentes de SIC.

6.3.11 Os órgãos e entidades da APF devem planejar e dimensionar seus sistemas e canais de comunicação de forma a garantir a disponibilidade, a integridade, a confidencialidade e autenticidade da informação distribuída e divulgada.

6.3.13 O acesso às áreas, instalações e materiais que contenham informação classificada em qualquer grau de sigilo, de acesso restrito, ou que demande proteção, deve ser normatizado internamente.

6.3.14 No transporte, transmissão e distribuição de mídias que contenham informação sigilosa deve ser aplicado controle de acesso e uso de criptografia baseada em algoritmo registrado. No caso da informação classificada em qualquer grau de sigilo deve-se utilizar criptografia baseada em algoritmo de Estado. (NC 09 DSIC/GSI/PR)

61



6.4.1 Deve ser constituída a Comissão Permanente de Avaliação de Documentos (CPAD) para orientar e realizar o processo de análise, avaliação e seleção da documentação produzida e acumulada no seu âmbito de atuação, tendo em vista a identificação dos documentos para guarda permanente e a eliminação dos destituídos de valor, conforme legislação vigente.

6.4.2 Pode ser constituída a Comissão Permanente de Avaliação de Documentos Sigilosos (CPADS) para assessorar sobre a classificação quanto ao grau de sigilo, desclassificação, reclassificação ou reavaliação da informação, propor o destino final da informação desclassificada e subsidiar a elaboração do rol anual das informações desclassificadas e documentos classificados em cada grau de sigilo, a ser disponibilizado na Internet.

7.1.1 A Alta Administração dos órgãos e entidades da APF deve assegurar que a Política de Segurança da Informação e Comunicações (POSIC) estabeleça diretrizes gerais de tratamento da informação ao longo do ciclo de vida.

62



7.1.2 As normas e procedimentos internos de tratamento da informação devem ser elaborados com participação do Gestor de Segurança da Informação e Comunicações do órgão e entidade da APF, aprovados no âmbito do respectivo Comitê de Segurança da Informação e Comunicações (CSIC), e submetidos à Alta Administração, para aprovação e publicação.

7.1.3 Devem ser identificadas em normativos internos ações necessárias ao aprimoramento do processo de tratamento da informação, a serem implementadas na etapa de execução.

http://pesquisa.in.gov.br/imprensa/jsp/visualiza/index.jsp?jornal=1&pagina=4&data=15/12/2014

63



Portaria Nº 41 - CDN, de 9 de outubro de 2014

– Institui, no âmbito do Comitê Gestor de Segurança da Informação - CGSI, o Grupo de Trabalho para estudo, análise e proposição de norma complementar à Instrução Normativa GSI nº 1, de 13 de junho de 2008, a cerca do tema Segurança das Infraestruturas Críticas da Informação, assunto de alta relevância relacionado à Segurança da Informação e Comunicações para a Administração Pública Federal (APF), direta e indireta.

http://pesquisa.in.gov.br/imprensa/jsp/visualiza/index.jsp?data=10/10/2014&jornal=1&pagina=7&totalArquivos=224

64



Portaria Nº 40 - CDN, de 8 de outubro de 2014

– Homologa a NC21/IN01/DSIC/GSIPR que estabelece Diretrizes para o Registro de Eventos, Coleta e Preservação de Evidências de Incidentes de Segurança em Redes nos órgãos e entidades da Administração Pública Federal, direta e indireta.

– OBJETIVO: Estabelecer diretrizes para o registro, coleta e preservação de evidências de incidentes de segurança em redes computacionais dos órgãos e entidades da Administração Pública Federal, direta e indireta - APF e a comunicação às autoridades competentes.


65



50. DOS INCIDENTES DE SEGURANÇA EM REDES COMPUTACIONAIS Estão abrangidos nesta Norma Complementar todos os eventos contrários ao

ordenamento jurídico em vigor, bem como as normas constantes da política de segurança da organização, relativos à Segurança da Informação e Comunicações (SIC), como:

a) Divulgação não autorizada de dado ou informação sigilosa contida em sistema, arquivo ou base de dados da APF, nos termos do art. 153, §1o-A do Código Penal;

b) Invasão de dispositivo informático, nos termos do art. 154-A do Código Penal;

c) Interrupção de serviço telemático ou de informação de utilidade pública, previsto no §1o do art. 266 do Código Penal;

d) Inserção ou facilitação de inserção de dados falsos, alteração ou exclusão de dados corretos nos sistemas informatizados ou bancos de dados da APF, nos termos do art. 313-A do Código Penal;

66



e) Modificação ou alteração por funcionário público de sistema de informação ou programa de informática sem autorização, nos termos do art. 313-B do Código Penal;

f) Distribuição, armazenamento ou conduta vinculada a pornografia infantil, nos termos dos arts. 240, 241, 241-A, 241-B, 241-C e 241-D da Lei no 8069/90; e

g) Interceptação telemática clandestina, nos termos do art. 10 da Lei no 9296/96.

6.1 O horário dos ativos de informação deve ser ajustado por meio de mecanismos de sincronização de tempo, de forma a garantir que as configurações de data, hora e fuso horário do relógio interno estejam sincronizados com a "Hora Legal Brasileira (HLB)", de acordo com o serviço oferecido e assegurado pelo Observatório Nacional (ON).

67



6.2 Os ativos de informação devem ser configurados de forma a registrar todos os eventos relevantes de SIC, e no mínimo, os seguintes:

a) Autenticação, tanto os bem-sucedidos quanto os malsucedidos;

b) Acesso a recursos e dados privilegiados; e

c) Acesso e alteração nos registros de auditoria.

6.3 Os registros dos eventos previstos no item anterior devem incluir as seguintes informações:

a) Identificação inequívoca do usuário que acessou o recurso;

b) Natureza do evento, como por exemplo, sucesso ou falha de autenticação, tentativa de troca de senha, etc;

c) Data, hora e fuso horário, observando o previsto no item 6.1; e

d) Endereço IP (Internet Protocol), identificador do ativo de informação, coordenadas geográficas, se disponíveis, e outras informações que possam identificar a possível origem do evento.

68



6.4 Os ativos de informação que não permitam os registros de eventos acima listados devem ser mapeados e documentados quanto ao tipo e formato de registros de auditoria que o sistema permita armazenar.

6.5 Devem-se acompanhar os sistemas e redes de comunicação de dados, registrando-se os eventos de segurança elencados abaixo, sem prejuízo de outros considerados relevantes:

a) Utilização de usuários, perfis e grupos privilegiados;

b) Inicialização, suspensão e reinicialização de serviços;

c) Acoplamento e desacoplamento de dispositivos de hardware, com especial atenção para mídias removíveis;

d) Modificações da lista de membros de grupos privilegiados;

e) Modificações de política de senhas, como por exemplo, tamanho, expiração, bloqueio automático após exceder determinado número de tentativas de autenticação, histórico; etc.

f) Acesso ou modificação de arquivos ou sistemas considerados críticos; e

g) Eventos obtidos de quaisquer mecanismos de segurança existentes.

69



6.6 Os servidores de hospedagem de página eletrônica, bem como todo e qualquer outro ativo de informação que assim o permita, devem ser configurados para armazenar registros históricos de eventos (Logs) em formato que permita a completa identificação dos fluxos de dados.

6.7 Os registros devem ser armazenados pelo período mínimo de 06 (seis) meses, sem prejuízo de outros prazos previstos em normativos específicos.

6.8 Recomenda-se que os ativos de informação sejam configurados de forma a armazenar seus registros de auditoria não apenas localmente, como também remotamente, por meio do uso de tecnologia aplicável.

70



7.1 O agente responsável pela ETIR, durante o processo de tratamento do incidente, e particularmente nos casos dos eventos previstos no item 5, deverá, sem prejuízo de outras ações, coletar e preservar:

a) As mídias de armazenamento dos dispositivos afetados; e

b) Todos os registros de eventos citados no item 6.

7.2 Nos casos em que seja inviável preservar as mídias de armazenamento mencionadas na alínea "a" do item 7.1, em razão da necessidade de pronto restabelecimento do serviço afetado, o agente responsável pela ETIR deverá coletar e armazenar cópia dos arquivos afetados pelo incidente, tais como: logs, configurações do sistema operacional, arquivos do sistema de informação, e outros julgados necessários, mantendo-se a estrutura de diretórios original, bem como os "metadados" desses arquivos, como data, hora de criação e permissões.

71



7.3 O agente responsável pela ETIR deve fazer constar em relatório a impossibilidade de preservar as mídias afetadas e listar todos os procedimentos adotados.

7.4 As ações de restabelecimento do serviço não devem comprometer a coleta, e preservação da integridade das evidências.

7.5 Para a preservação dos arquivos coletados, deve-se:

a) Gerar um arquivo contendo a lista dos resumos criptográficos de todos os arquivos coletados;

b) Gravar os arquivos coletados, acompanhado do arquivo com a lista dos resumos criptográficos descrito na alínea anterior; e

c) Gerar o resumo criptográfico do arquivo citado na alínea "a" deste item.

72



8.1 Após a conclusão do processo de coleta e preservação das evidências do incidente, o responsável pela ETIR deverá elaborar Relatório de Comunicação de Incidente de Segurança em Redes Computacionais, descrevendo detalhadamente os eventos verificados.

8.4 A preservação da privacidade e sigilo dos dados custodiados deverá ser observada durante todo o processo de coleta das evidências do incidente de segurança em redes computacionais, na elaboração do relatório, bem como, quando do seu envio às autoridades competentes, conforme legislação vigente.

73



8.4.1 O Relatório de Comunicação de Incidentes de Segurança em Redes Computacionais (modelo exemplificado no anexo A) e o Termo de Custódia dos Ativos de Informação relacionados ao Incidente de Segurança (modelo exemplificado no anexo B) contêm informações sigilosas amparadas em hipóteses de sigilo previstas na legislação vigente.

8.4.2 Os órgãos e entidades da APF deverão adotar normas e procedimentos internos de tratamento das informações sigilosas que constam no Relatório de Comunicação de Incidente de Segurança em Redes Computacionais, e no Termo de Custódia dos Ativos de Informação Relacionados ao Incidente de Segurança.

74



Portaria Nº 26 - CDN, de 15 de julho de 2014

– Institui no âmbito do Comitê Gestor de Segurança da Informação - CGSI, 4 (quatro) Grupos de Trabalho para estudo, análise e proposição de normas complementares (NC) à Instrução Normativa GSI nº 1, de 13 de junho de 2008, a cerca de temas relevantes relacionados à Segurança da Informação e Comunicações para a Administração Pública Federal (APF), direta e indireta.


– I - preservação de evidências de incidentes em Segurança da Informação e Comunicações (SIC).

– II - Segurança da Informação em grandes volumes de dados. – III - Segurança em recursos humanos em SIC; e – IV - elaboração de Guia de orientações ao gestor de SIC.

75



Portaria Nº 24 - CDN, de 15 de julho de 2014 – Homologa a NC19/IN01/DSIC/GSI - Estabelece Padrões

Mínimos de Segurança da Informação e Comunicações para os Sistemas Estruturantes da Administração Pública Federal (APF), direta e indireta.


76



4. PRINCÍPIOS, DIRETRIZES E PROCEDIMENTOS

Os padrões de segurança dos sistemas estruturantes deverão incorporar, gradativamente, controles de segurança da informação e comunicações (SIC), no mínimo, no que tange aos seguintes aspectos:

4.1 Planejamento, Concepção e Manutenção do Sistema

4.1.1 As demandas de planejamento, concepção e manutenção de sistemas estruturantes deverão seguir processo formal de Gestão de Riscos de Segurança da Informação e Comunicações.

4.1.3 A integração, a fusão ou a ampliação de sistemas legados que ensejarem novos ou reformulados sistemas estruturantes deverá observar as diretrizes para a Gestão de Mudanças, nos aspectos relativos à Segurança da Informação e Comunicações, recomendadas na Norma Complementar no 13 à IN01/DSIC/GSIPR.

77



4.1.7 Os instrumentos contratuais celebrados entre a APF e prestadores de serviço, em decorrência das contratações de soluções de tecnologia da informação para projetos de implementação ou manutenção de sistemas estruturantes, deverão conter cláusulas que garantam a realização de auditorias nos aspectos de Segurança da Informação e Comunicações.

4.1.8 Preferencialmente, os sistemas estruturantes devem optar por ativos de informação constituídos por arquiteturas que permitam auditar seus respectivos projetos e códigos, conforme legislação em vigor.

4.2.1 Os dispositivos de armazenamento e contingência de dados que suportam, total ou parcialmente, sistemas estruturantes deverão estar fisicamente localizados em dependências de um ou mais órgãos ou entidades públicos da administração pública federal, dentro do território nacional, conforme legislação em vigor.

78



4.2.2 Os dispositivos de armazenamento, recuperação, processamento de dados e interconectividade de rede poderão adotar preferência por fabricantes nacionais, conforme legislação em vigor.

4.2.3 As soluções de infraestrutura em nuvem para sistemas estruturantes deverão adotar somente os modelos de implementação de Nuvem Própria ou de Nuvem Comunitária, em todos os modelos de serviços, conforme NC14/IN01/DSIC/GSI/PR, desde que restritas às infraestruturas de órgãos ou entidades da administração pública federal (APF).

4.2.4 As infraestruturas de rede e telecomunicações utilizadas pelos sistemas estruturantes deverão ser fornecidas por órgãos ou entidades da administração pública federal (APF), conforme dispositivos legais em vigor.

79



4.2.5 As instalações de infraestrutura computacional, de armazenamento e recuperação de dados, de rede e de telecomunicações utilizadas, total ou parcialmente, por sistema estruturante deverão ser planejadas, operacionalizadas e continuamente monitoradas por processo formal de Gestão de Riscos de Segurança da Informação e Comunicações, observando-se, principalmente:

a) Sistemas de Proteção Física para mitigar o risco de acesso não autorizado;

b) Sistema alternativo de provisão de energia elétrica; c) Proteção contra descargas elétricas e atmosféricas; d) Planos e sistemas de proteção contra incêndio e outros sinistros; e) Sítio alternativo que garanta a disponibilidade do sistema em caso de

sinistro. f) Utilização de infraestrutura de redes e telecomunicações seguras.

80



4.3 Controle de Acesso e Identidades

4.3.3 Os sistemas estruturantes devem conter um conjunto de processos de negócio e de mecanismos lógicos e físicos capazes de viabilizar, quando necessário, trilhas de auditoria aos controles de acesso, principalmente, no tocante ao uso e manutenção das identidades digitais, conforme NNC7/IN01/DSIC/GSI/PR.

4.4.1 O órgão ou unidade responsável pelo sistema estruturante deverá possuir Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais, apta a identificar e tratar os incidentes que comprometam a segurança da informação e comunicações relacionados ao estruturante, devendo o órgão viabilizar capacitação dessa equipe e, quando aplicável, ferramentas para sua atuação, conforme NC5/IN01/DSIC/GSI/PR.

81



4.5 Política e Conformidade

4.5.1 Os órgãos e entidades da APF gestores dos estruturantes devem estabelecer formalmente diretrizes, papéis, responsabilidades e controles nos casos em que os sistemas são delegados a um custodiante.

4.5.2 Os sistemas estruturantes devem possuir política ou normativo específico que disciplina seu uso, seus controles e perfis de acesso, bem como responsabilidades decorrentes de sua má utilização, conforme legislação em vigor.

4.5.2.1 Os normativos de que trata o caput devem ser revisados e ajustados periodicamente.

82



Portaria Nº 23 - CDN, de 15 de julho de 2014 – Homologa a 2a revisão da NC09/IN01/DSIC/GSI - Estabelece

orientações específicas para o uso de recursos criptográficos em Segurança da Informação e Comunicações, nos órgãos ou entidades da Administração Pública Federal, direta e indireta.


4.3 Todo Agente Responsável usuário de recurso criptográfico é encarregado pela sua operação e sigilo, deve possuir credencial de segurança e assinar o respectivo Termo de Uso de Recursos Criptográficos, conforme modelo constante no Anexo A.

83



5.1 Algoritmo de Estado:

5.1.1 Toda a informação classificada, em qualquer grau de sigilo, produzida, armazenada ou transmitida, em parte ou totalmente, por qualquer meio eletrônico, deverá obrigatoriamente ser protegida com recurso criptográfico baseado em algoritmo de Estado.

5.1.4 O canal de comunicação seguro (Rede Privada Virtual - VPN) que interligue redes dos órgãos e entidades da APF, direta e indireta, objetivando a troca de informações classificadas, deve utilizar recurso criptográfico baseado em algoritmo de Estado.

5.1.5 A utilização de recurso criptográfico, baseado em algoritmo de Estado, para cifração e decifração das informações não classificadas é opcional.

5.1.8 O credenciamento de estrangeiros para uso de recurso criptográfico baseado em algoritmo de Estado deve ser submetido ao GSI/PR;

84



5.1.10 O recurso criptográfico, baseado em algoritmo de Estado, deverá ser de desenvolvimento próprio ou por órgãos e entidades da APF, direta ou indireta, mediante acordo ou termo de cooperação, vedada a participação e contratação de empresas e profissionais externos à APF, para tal finalidade.

5.1.11 Excepcionalmente, com anuência da Alta Administração do órgão ou entidade, o previsto no item 5.1.10 poderá ser terceirizado, desde que atendidas obrigatoriamente as seguintes condições:

a) seja uma Empresa Estratégica de Defesa do setor de Tecnologia de Informação e Comunicação e utilize tecnologia nacional, não sendo aceito empresas que apenas forneçam recursos criptográficos com tecnologia estrangeira;

b) seja realizado exclusivamente por meio de Contrato Sigiloso, nos termos dos arts. 48 e 49 do Decreto no 7.845, de 14 de novembro de 2012; e

c) seja previsto em cláusula contratual que fica vedado ao contratado os direitos de propriedade e de exploração comercial do recurso criptográfico com algoritmo de Estado objeto do referido contrato.

85



Portaria Nº 22 - CDN, de 15 de julho de 2014 – Homologa a 1a.revisão da NC07/IN01/DSIC/GSI - Estabelece as

Diretrizes para Implementação de Controles de Acesso Relativos à Segurança da Informação e Comunicações, nos órgãos e entidades da Administração Pública Federal (APF), direta e indireta.


– Objetivo: Estabelecer diretrizes para implementação de controles de acesso relativos à Segurança da Informação e Comunicações nos órgãos e entidades da Administração Pública Federal, direta e indireta - APF.

86



2.3. A identificação dos controles de acesso lógico e físico, nos órgão ou entidade da APF, é consequência do processo de Gestão de Riscos de Segurança da Informação e Comunicações.

2.5. Para implementar os controles de acesso aprovados é fundamental a elaboração e divulgação de normas, bem como programas periódicos de sensibilização e conscientização em conformidade com a Política de Segurança da Informação e Comunicações (POSIC) dos órgãos ou entidades da APF.

5.1.1. A conta de acesso biométrico, quando implementada, deve ser vinculada a uma conta de acesso lógico e ambas devem ser utilizadas para se obter um acesso, a fim de atender os conceitos da autenticação de multifatores.

5.1.2. O órgão ou entidade deverá tratar seus respectivos dados biométricos como dados sigilosos, preferencialmente, utilizando-se de criptografia, na forma da legislação vigente.

87



6.1.1. A criação de contas de acesso aos ativos de informação requer procedimentos prévios de credenciamento para qualquer usuário.

6.1.2. Disponibilizar ao usuário, que não exerce funções de administração da rede local, somente uma única conta institucional de acesso, pessoal e intransferível.

6.1.3. Utilizar conta de acesso no perfil de administrador somente para usuários cadastrados para execução de tarefas específicas na administração de ativos de informação.

6.1.4. Responsabilizar o usuário pela quebra de segurança ocorrida com a utilização de sua respectiva conta de acesso, mediante assinatura de Termo de Responsabilidade (Modelo - Anexo A).

88


DSIC do GSI/PRLegislações - Decretos6.2. Quanto à rede corporativa de computadores:

6.2.1. Conceder credenciais de acesso à rede corporativa de computadores após a data de contratação ou de entrada em exercício do usuário.

6.2.2. Excluir credenciais de acesso à rede corporativa de computadores quando do desligamento do usuário.

6.2.3. Registrar os acessos à rede corporativa de computadores de forma a permitir a rastreabilidade e a identificação do usuário por período mínimo a ser definido em cada órgão ou entidade da APF.

6.2.4. Utilizar mecanismos automáticos para inibir que equipamentos externos se conectem na rede corporativa de computadores.

6.2.5. Manter, na rede corporativa, mecanismos que permitam identificar e rastrear os endereços de origem e destino, bem como os serviços utilizados.

6.2.7. Gravar o acesso remoto à rede corporativa em logs para posterior auditoria, contendo informações específicas que facilitem o rastreamento da ação tomada;

89



6.3. Quanto aos ativos de informação: 6.3.1. Conter ferramentas de proteção contra acesso não autorizado

aos ativos de informação, que favoreça, preferencialmente, a administração de forma centralizada.

6.3.2. Respeitar o princípio do menor privilégio para configurar as credenciais ou contas de acesso dos usuários aos ativos de informação;

6.3.6. O uso dos ativos de informação que não guarde relação com o exercício do cargo, função, emprego ou atividade públicas será considerado indevido e passível de imediato bloqueio de acesso, sem prejuízo da apuração das responsabilidades administrativa, penal e civil.

6.3.7. Os órgãos ou entidades da APF, em suas áreas de competência, estabelecem regras para o uso da Internet, do Correio Eletrônico e de Mensagens Instantâneas.

90


DSIC do GSI/PRLegislações - Decretos7.1 Quanto às áreas e instalações físicas:

7.1.3. Classificar as áreas e instalações como ativos de informação de acordo com o valor, a criticidade, o tipo de ativo de informação e o grau de sigilo das informações que podem ser tratadas em tais áreas e instalações, mapeando aquelas áreas e instalações consideradas críticas;

7.1.4. Os Órgãos ou entidades da APF orientam o uso de barreiras físicas de segurança, bem como equipamentos ou mecanismos de controle de entrada e saída;

7.1.5. Proteger os ativos de informação contra ações de vandalismo, sabotagem, ataques, etc, especialmente em relação àqueles considerados críticos.

7.1.6. Implementar área de recepção com regras claras para a entrada e saída de pessoas, equipamentos e materiais;

7.1.7. Definir pontos de entrega e carregamento de material com acesso exclusivo ao pessoal credenciado;

7.1.8. Intensificar os controles para as áreas e instalações consideradas críticas em conformidade com a legislação vigente.

91



7.2. Quanto aos usuários: 7.2.2. Conscientizar o usuário para adotar comportamento favorável à

disponibilidade, à integridade, à confidencialidade e à autenticidade das informações.

7.2.3. Identificar e avaliar sistematicamente os riscos à segurança da informação e comunicações dos ativos de informação e quais controles devem ser aplicados quanto aos acessos dos usuários;

7.2.4 . E s t a b e l e c e r formulário específ ico de Termo de Responsabilidade (Modelo - Anexo A) a ser difundido e assinado individualmente pelos usuários;

7.2.5. Definir regras específicas para autorização de acesso e credenciamento dos usuários em conformidade com a classificação dos ativos de informação.

92



7.3. Quanto aos ativos de informação:

7.3.2. Classificar os ativos de informação em níveis de criticidade, considerando o tipo de ativo de informação, o provável impacto no caso de quebra de segurança, tomando como base a gestão de risco e a gestão de continuidade de negócios relativa aos aspectos da segurança da informação e comunicações da APF,

7.3.3. Um exemplo para classificação dos ativos de informação está disposto no Anexo B.

7.3.4. Os ativos de informação classificados como sigilosos requerem procedimentos especiais de controles de acesso físico em conformidade com a legislação vigente.

93



Portaria Nº 19 - GSI, de 27 de junho de 2013 – Homologa a NC01/IN02/NSC/GSIPR, que disciplina o

credenciamento de segurança de pessoas naturais, órgãos e entidades públicas e privadas para tratamento de informações classificadas, no âmbito do Poder Executivo Federal.


– Objetivo: Disciplinar o processo de credenciamento de segurança de pessoas naturais, bem como de órgãos e entidades públicas e privadas, como órgãos de registro e postos de controle, para o tratamento de informações classificadas, em qualquer grau de sigilo, no âmbito do Poder Executivo Federal.

94



4.3 O processo de credenciamento de segurança deve produzir subsídios tanto para a gestão de riscos aos ativos de informação classificada, quanto para a continuidade das ações, nos aspectos relacionados à segurança da informação e comunicações. 4.5 As entidades privadas poderão ser habilitadas como postos de controle para o tratamento de informação classificada, em qualquer grau de sigilo, pelo Núcleo de Segurança e Credenciamento ou pelos Órgãos de Registro Nível 1, desde que possuam vínculo de qualquer natureza com os mesmos.

95



4.6 Quando o tratamento da informação classificada em qualquer grau de sigilo, envolver país ou organização estrangeira, a habilitação de segurança da empresa privada brasileira somente poderá ser realizada se houver algum tratado, acordo, memorando de entendimentos ou ajuste técnico, específico para troca de informação classificada, firmado entre o país ou organização estrangeira e a República Federativa do Brasil, conforme previsto no art. 16 do Decreto no 7.845, de 2012.

5.1 A credencial de segurança será concedida para pessoa natural somente nos casos em que houver a necessidade de conhecer informações classificadas, em qualquer grau de sigilo, conforme estabelecido em normatização interna do órgão ou entidade do Poder Executivo Federal ao qual a pessoa a ser credenciada estiver vinculada.

96


DSIC do GSI/PR

- Prox. Aula-Cont. Legislação GSIPR

97


motivação - lncclrodrigo.sgs.lncc.br/wp/wp-content/uploads/2015/10/ucp... · 2016-01-22 · •...

Documents