palestra secop 2012 - lei de acesso à informação x segurança da informação
DESCRIPTION
Palestra sobre a Lei de Acesso à Informação e a Segurança da Informação, apresentada durante o 40º Seminário Nacional de TIC para a Gestão Pública, realizado em Gramado/RS em Set/2012.TRANSCRIPT
Lei de Acesso à Informaçãox
Segurança da Informação:Conflito ou Acordo de Interesses?
Marcelo Veloso
40º Seminário Nacional de TIC para a Gestão Pública19, 20 e 21/09/2012 – Gramado/RS
Agenda
Introdução
Segurança da Informação
Lei de Acesso à InformaçãoLei de Acesso à Informação
Desafios/Oportunidades
Considerações Finais
Questões Críticas
Agenda
Introdução
Segurança da Informação
Lei de Acesso à InformaçãoLei de Acesso à Informação
Desafios/Oportunidades
Considerações Finais
Questões Críticas
Introdução
O objetivo desta palestra é apresentar algumas questões críticas que demonstram que a existência da Lei de Acesso à Informação não elimina a necessidade de lidar com a Segurança elimina a necessidade de lidar com a Segurança da Informação no âmbito da administração pública, e que é necessário o desenvolvimento de ações que busquem manter a harmonia entre a transparência pública e a proteção das informações
Agenda
Introdução
Segurança da Informação
Lei de Acesso à InformaçãoLei de Acesso à Informação
Desafios/Oportunidades
Considerações Finais
Questões Críticas
Segurança da Informação
Definição:
Preservação da confidencialidade, da integridade e da disponibilidade da informação; adicionalmente, da disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas
Fonte: ISO/IEC 27002: Tecnologia da informação – Técnicas de segurança –Código de prática para a gestão da segurança da informação, 2005
Segurança da Informação
Confidencialidade
• propriedade de que a informação
Integridade
• propriedade de salvaguarda da
Disponibilidade
• propriedade de estar acessível e
Segurança da Informação
Fonte: ISO/IEC 13335-1: Conceitos e modelos para a Segurança em TI, 2004
que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados
salvaguarda da exatidão e completeza de ativos
estar acessível e utilizável sob demanda por uma entidade autorizada
Segurança da Informação
Fonte: Módulo Security Solutions, 2008
Agenda
Introdução
Segurança da Informação
Lei de Acesso à InformaçãoLei de Acesso à Informação
Desafios/Oportunidades
Considerações Finais
Questões Críticas
Lei de Acesso – Lei Nº 12.527/2011
ABRANGÊNCIA
� Administração direta e indireta de todos os poderes e todos os entes federativosABRANGÊNCIA federativos
� Entidades privadas sem fins lucrativos que recebam recursos públicos
Art. 1º e Art. 2º
Lei de Acesso – Lei Nº 12.527/2011
PUBLICIDADE Regra
ExceçãoSIGILO
Art. 3º Inciso I
Lei de Acesso – Lei Nº 12.527/2011
Art. 4º Para os efeitos desta Lei, considera-se:
III - informação sigilosa: aquela submetida temporariamente à restrição de acesso público em razão de sua imprescindibilidade para a segurança da sociedade e do Estado
autorizados
para a segurança da sociedade e do Estado
IV - informação pessoal: aquela relacionada à pessoa natural identificada ou identificável
VI - disponibilidade: qualidade da informação que pode ser conhecida e utilizada por indivíduos, equipamentos ou sistemas autorizados
Lei de Acesso – Lei Nº 12.527/2011
Art. 4º Continuação:
VII - autenticidade: qualidade da informação que tenha sido produzida, expedida, recebida ou modificada por determinado indivíduo, equipamento ou sistemaindivíduo, equipamento ou sistema
VIII - integridade: qualidade da informação não modificada, inclusive quanto à origem, trânsito e destino
Lei de Acesso – Lei Nº 12.527/2011
Acesso a InformaçãoInformação
Transparência Passiva
Transparência Ativa
Art. 8º e Art. 10
Agenda
Introdução
Segurança da Informação
Lei de Acesso à InformaçãoLei de Acesso à Informação
Desafios/Oportunidades
Considerações Finais
Questões Críticas
Questões Críticas
Art. 6º Cabe aos órgãos e entidades do poder público, observadas as normas e procedimentos específicos aplicáveis, assegurar a:
II - proteção da informação, garantindo-se sua disponibilidade, II - proteção da informação, garantindo-se sua disponibilidade, autenticidade e integridade
III - proteção da informação sigilosa e da informação pessoal, observada a sua disponibilidade, autenticidade, integridade e eventual restrição de acesso
Questões Críticas
Art. 23. São consideradas imprescindíveis à segurança da sociedade ou do Estado e, portanto, passíveis de classificação as informações cuja divulgação ou acesso irrestrito possam:
I - pôr em risco a defesa e a soberania nacionais ou a integridade I - pôr em risco a defesa e a soberania nacionais ou a integridade do território nacional
II - prejudicar ou pôr em risco a condução de negociações ou as relações internacionais do País, ou as que tenham sido fornecidas em caráter sigiloso por outros Estados e organismosinternacionais
Questões Críticas
Art. 23. Continuação:
III - pôr em risco a vida, a segurança ou a saúde da população
IV - oferecer elevado risco à estabilidade financeira, econômica ou monetária do Paísou monetária do País
V - prejudicar ou causar risco a planos ou operações estratégicos das Forças Armadas
Questões Críticas
Art. 23. Continuação:
VI - prejudicar ou causar risco a projetos de pesquisa e desen-volvimento científico ou tecnológico, assim como a sistemas, bens, instalações ou áreas de interesse estratégico nacional
prevenção ou repressão de infrações
bens, instalações ou áreas de interesse estratégico nacional
VII - pôr em risco a segurança de instituições ou de altas autoridades nacionais ou estrangeiras e seus familiares; ou
VIII - comprometer atividades de inteligência, bem como de investigação ou fiscalização em andamento, relacionadas com a prevenção ou repressão de infrações
Questões Críticas
Art. 24. A informação em poder dos órgãos e entidades públicas, observado o seu teor e em razão de sua imprescindibilidade à segurança da sociedade ou do Estado, poderá serclassificada como ultrassecreta, secreta ou reservada
§ 1o Os prazos máximos de restrição de acesso à informação, conforme a classificação prevista no caput, vigoram a partir da data de sua produção e são os seguintes:
I - ultrassecreta: 25 (vinte e cinco) anosII - secreta: 15 (quinze) anos; eIII - reservada: 5 (cinco) anos
Questões Críticas
Questões Críticas
Art. 25. É dever do Estado controlar o acesso e a divulgação de informações sigilosas produzidas por seus órgãos e entidades, assegurando a sua proteção
§ 3o Regulamento disporá sobre procedimentos e medidas a § 3o Regulamento disporá sobre procedimentos e medidas a serem adotados para o tratamento de informação sigilosa, de modo a protegê-la contra perda, alteração indevida,acesso, transmissão e divulgação não autorizados
Questões Críticas
CASA CIVIL
INSTITUTO NACIONAL DE TECNOLOGIA
DA INFORMAÇÃO
PORTARIA N 25, DE 15 DE MAIO DE 2012
O DIRETOR PRESIDENTE DO INSTITUTO NACIO-NAL DE TECNOLOGIA DA INFORMAÇÃO, AUTARQUIAVINCULADA À CASA CIVIL DA PRESIDÊNCIA DA REPÚ-BLICA, no uso de suas atribuições, tendo em vista o disposto no art.24 da Lei nº 12.527, de 18 novembro de 2011,
ANEXO 1
Documentos Secretos
Papéis de Trabalho/Auditoria; Relatórios/Auditoria; Conceitos deRisco/Auditoria; Pareceres/Auditoria; Relação das pessoas que serãodetentores partições de recursos criptográficos da AC, comrespectivos termos de designação para a função; Relação dasnecessidades de acesso físico e lógico para cada cargo; Relação depessoas que possuem acesso às chaves ou componentes de chavescriptográficas da AC com sua respectiva designação formal eatribuição de responsabilidades; Relação do pessoal contratado paraaAC/cargo desempenhadoe a respectivadocumentação; Termosde
Considerando que é dever dos órgãos e entidades do poderpúblico assegurar a gestão transparente da informação, propiciandoamplo acesso a ela e sua divulgação;
Considerando que o direito fundamental de acesso à infor-mação deve ser executado em conformidade com os princípios bá-sicos da administração;
Considerando que é dever do Estado controlar o acesso e adivulgação de informações sigilosas produzidas por seus órgãos eentidades, assegurando a sua proteção;
Resolve classificar as informações contidas nesta Portaria,observado o seu teor e em razão de sua imprescindibilidade à se-gurança da sociedade ou do Estado, nos seguintes termos:
Art. 1º Classificar como secretos os documentos elencados noAnexo 1 desta Portaria.
Art. 2º Esta Portaria entra em vigor na data de sua publicação.
RENATO DA SILVEIRA MARTINI
AC/cargo desempenhadoe a respectivadocumentação; TermosdeDesignação de Gestor ou Responsável pelos Ativos da AC (ativos deinformação e de processamento); Termos de Responsabilidade sobrea segurança física da AC......Livro de Registro de Manutenção de Hardware; Sistemas (Logs);Servidores (Logs); Imagens de Vídeo (CFTV); Registro deIncidentes de Segurança; Registros Telefônicos; Base de dados deferramentas de monitoramento (redes, sistemas, servidores);Documentação da topologia/arquitetura da rede; Arquivos deconfiguração de Firewall; Arquivos de configuração de Servidores;Arquivos de configuração de Switches; Diagramas da Rede Dados;Diagrama de CFTV; Diagramas da Rede elétrica; Dados de Fitas deBackup; E-mails Institucionais (Serviço de Correio Eletrônico);Arquivos do serviço de armazenamento de dados corporativos(Sistema de Aquivos Dados-ITI); Senha de Operação/Administraçãode Equipamentos (Hardware); Senha de Operação/Administração deSistemas e Servidores (Software); Senha de Operação/Administraçãodo Circuito Fechado de TV.
Questões Críticas
Art. 31. O tratamento das informações pessoais deve ser feito de forma transparente e com respeito à intimidade, vida privada, honra e imagem das pessoas, bem como às liberdades e garantias individuais
§ 5o Regulamento disporá sobre os procedimentos para tratamento de informação pessoal
Questões Críticas
Questões Críticas
Art. 32. Constituem condutas ilícitas que ensejam responsabilidade do agente público ou militar:
II - utilizar indevidamente, bem como subtrair, destruir, inutilizar, desfigurar, alterar ou ocultar, total ou parcialmente, informação desfigurar, alterar ou ocultar, total ou parcialmente, informação que se encontre sob sua guarda ou a que tenha acesso ou conhecimento em razão do exercício das atribuições de cargo, emprego ou função pública
IV - divulgar ou permitir a divulgação ou acessar ou permitir acesso indevido à informação sigilosa ou informação pessoal
Agenda
Introdução
Segurança da Informação
Lei de Acesso à InformaçãoLei de Acesso à Informação
Desafios/Oportunidades
Considerações Finais
Questões Críticas
Desafios/Oportunidades
� Gestão da Informação
� Classificação de Informações� Classificação de Informações
� Treinamento dos agentes públicos
� Estabelecimento de SGSI
Agenda
Introdução
Segurança da Informação
Lei de Acesso à InformaçãoLei de Acesso à Informação
Desafios/Oportunidades
Considerações Finais
Questões Críticas
Considerações Finais
A Lei 12.527 representa, sem dúvida nenhuma, um grande avanço para a sociedade brasileira, com a consolidação do processo democrático no Brasil e da transparência das ações do governo, operando como mecanismo de combate à corrupção e melhoria dos serviços públicos prestados à população
O mais importante: desenvolver e implementar ações que busquem manter a harmonia entre a transparência pública e a proteção adequada às informações
A Lei de Acesso à Informação não representa a supressão de práticas de Segurança da Informação, uma vez que não existe conflito entre uma e outra, mas sim objetivos em comum bem definidos a serem alcançados
